logstash 常见插件配置说明

最新推荐文章于 2025-06-14 14:54:04 发布
最新推荐文章于 2025-06-14 14:54:04 发布
阅读量5.2k 收藏 6
点赞数 3
CC 4.0 BY-SA版权
分类专栏: ElasticSearch logstash 文章标签: logstash 插件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_15958689/article/details/79479651
本文介绍了Logstash这一开源数据采集引擎的基本概念、系统结构及常见插件应用。涵盖文件类型插件、数据库类型插件及Redis插件的具体配置示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、Logstash简介

1、官网地址

  https://www.elastic.co/products/logstash

2、软件介绍

  官方介绍:Logstash is an open source data collection engine with real-time pipelining capabilities。简单来说logstash就是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道还可以让你根据自己的需求在中间加上滤网,Logstash提供里很多功能强大的滤网以满足你的各种应用场景。

  Logstash常用于日志关系系统中做日志采集设备; 
这里写图片描述

3、系统结构

这里写图片描述

  Logstash的事件(logstash将数据流中等每一条数据称之为一个event)处理流水线有三个主要角色完成:inputs –> filters –> outputs:

  • inpust:必须,负责产生事件(Inputs generate events),常用:File、syslog、redis、beats(如:Filebeats)
  • filters:可选,负责数据处理与转换(filters modify them),常用:grok、mutate、drop、clone、geoip

  • outpus:必须,负责数据输出(outputs ship them elsewhere),常用:elasticsearch、file、graphite、statsd

      其中inputs和outputs支持codecs(coder&decoder)在1.3.0 版之前,logstash 只支持纯文本形式输入,然后以过滤器处理它。但现在,我们可以在输入 期处理不同类型的数据,所以完整的数据流程应该是:input | decode | filter | encode | output;codec 的引入,使得 logstash 可以更好更方便的与其他有自定义数据格式的运维产品共存,比如:graphite、fluent、netflow、collectd,以及使用 msgpack、json、edn 等通用数据格式的其他产品等 

二、文件类型插件

  文件类型,顾名思义,文件数据源,我们可以使用input组件的file插件来获取数据。file{}插件有很多的属性参数,我们可以张开讲解一下。具体内容在下面的代码中展示:

input{
    file{
        #path属性接受的参数是一个数组,其含义是标明需要读取的文件位置
        path => [‘pathA’,‘pathB’]
        #表示多就去path路径下查看是够有新的文件产生。默认是15秒检查一次。
        discover_interval => 15
        #排除那些文件,也就是不去读取那些文件
        exclude => [‘fileName1’,‘fileNmae2’]
        #被监听的文件多久没更新后断开连接不在监听,默认是一个小时。
        close_older => 3600
        #在每次检查文件列 表的时候, 如果一个文件的最后 修改时间 超过这个值, 就忽略这个文件。 默认一天。
        ignore_older => 86400
        #logstash 每隔多 久检查一次被监听文件状态( 是否有更新) , 默认是 1 秒。
        stat_interval => 1
        #sincedb记录数据上一次的读取位置的一个index
        sincedb_path => ’$HOME/. sincedb‘
        #logstash 从什么 位置开始读取文件数据, 默认是结束位置 也可以设置为:beginning 从头开始
        start_position => ‘beginning’
        #注意:这里需要提醒大家的是,如果你需要每次都从同开始读取文件的话,关设置start_position => beginning是没有用的,你可以选择sincedb_path 定义为 /dev/null
    }           

}

三:数据库类型插件

input{
    jdbc{
    #jdbc sql server 驱动,各个数据库都有对应的驱动,需自己下载
    jdbc_driver_library => "/etc/logstash/driver.d/sqljdbc_2.0/enu/sqljdbc4.jar"
    #jdbc class 不同数据库有不同的 class 配置
    jdbc_driver_class => "com.microsoft.sqlserver.jdbc.SQLServerDriver"
    #配置数据库连接 ip 和端口,以及数据库   
    jdbc_connection_string => "jdbc:sqlserver://200.200.0.18:1433;databaseName=test_db"
    #配置数据库用户名
    jdbc_user =>   
    #配置数据库密码
    jdbc_password =>
    #上面这些都不重要,要是这些都看不懂的话,你的老板估计要考虑换人了。重要的是接下来的内容。
    # 定时器 多久执行一次SQL,默认是一分钟
    # schedule => 分 时 天 月 年  
    # schedule =>  22     表示每天22点执行一次
    schedule => "  *"
    #是否清除 last_run_metadata_path 的记录,如果为真那么每次都相当于从头开始查询所有的数据库记录
    clean_run => false
    #是否需要记录某个column 的值,如果 record_last_run 为真,可以自定义我们需要表的字段名称,
    #此时该参数就要为 true. 否则默认 track 的是 timestamp 的值.
    use_column_value => true
    #如果 use_column_value 为真,需配置此参数. 这个参数就是数据库给出的一个字段名称。当然该字段必须是递增的,可以是 数据库的数据时间这类的
    tracking_column => create_time
    #是否记录上次执行结果, 如果为真,将会把上次执行到的 tracking_column 字段的值记录下来,保存到 last_run_metadata_path 指定的文件中
    record_last_run => true
    #们只需要在 SQL 语句中 WHERE MY_ID > :last_sql_value 即可. 其中 :sql_last_value 取得就是该文件中的值
    last_run_metadata_path => "/etc/logstash/run_metadata.d/my_info"
    #是否将字段名称转小写。
    #这里有个小的提示,如果你这前就处理过一次数据,并且在Kibana中有对应的搜索需求的话,还是改为true,
    #因为默认是true,并且Kibana是大小写区分的。准确的说应该是ES大小写区分
    lowercase_column_names => false
    #你的SQL的位置,当然,你的SQL也可以直接写在这里。
    #statement => SELECT * FROM tabeName t WHERE  t.creat_time > :sql_last_value
statement_filepath => "/etc/logstash/statement_file.d/my_info.sql" #数据类型,标明你属于那一方势力。单了ES哪里好给你安排不同的山头。 type => "my_info" } #注意:外载的SQL文件就是一个文本文件就可以了,还有需要注意的是,一个jdbc{}插件就只能处理一个SQL语句, #如果你有多个SQL需要处理的话,只能在重新建立一个jdbc{}插件。 }

四:Redis插件

input {
    redis {
        batch_count => 1 #返回的事件数量,此属性仅在list模式下起作用。
        data_type => "list" #logstash redis插件工作方式
        key => "logstash-test-list" #监听的键值
        host => "127.0.0.1" #redis地址
        port => 6379 #redis端口号
        password => "123qwe" #如果有安全认证,此项为密码
        db => 0 #redis数据库的编号
        threads => 1 #启用线程数量
    }
}


基于Logstash由SQLServer向Elasticsearch同步数据: logstash配置文件
专注于计算机研发知识和资讯分享
03-14 729
官方文档:https://www.elastic.co/guide/en/logstash/current/pipeline.html。statement : sql 里面的字段首字母必须as 成小写,或者你直接小写也行,但是必须的小写。依赖DB中的特定字段,可能会涉及到原有表结构的修改。在删除数据时无法通过这种方式获得数据的变更。x_Loan_PreservationAdvanceList.sql 需要同步数据执行的Sql。解压完成后,进入解压后的logstash-7.2.0文件夹。
logstash 定时检测及服务启动
02-23
crontab logstash 定时检测及服务启动 解决logstash服务频繁宕机
logstash 插件使用介绍
chenzl的专栏
10-23 337
logstash 插件使用介绍 logstash配置有input,filter,output三个区; 其中input负责从外部读取数据,转换为logstash事件; logstash事件,json格式的数据结构,json的key即为"字段"; filter区,对input后的事件进行数据处理,匹配"字段"处理数据; output区,将事件输入到目标设备; 实例 input { std...
ELK日志文件分析系统——L(Logstash)
Lemon__ing的博客
06-14 1178
‌。
Logstash安装及使用
我的祖传代码
08-18 1万+
目录 1 简介 1.1 Inputs 1.1.1 Input plugins 1.2 Filters 1.3 Output 1.3.1 Output plugins 1.3.2 Csv输出插件示例 1.4 Logstash特点 1.4.1 即插即用 1.4.2 可扩展性 1.4.3 耐用性和安全性 1.4.4 检测 1.4.5 管理与检查 2 安装 2.1 下载...
Logstash的部署和使用
Ben_10_的博客
07-03 4439
这个部分定义了 Logstash 处理完数据后应该将数据发送到哪里。在这个例子中,Logstash 将把处理后的数据发送到标准输出(stdout)。通常Logstash的可执行文件位于Logstash安装目录的bin。在这个例子中,Logstash 将使用 grok 插件来解析从文件中读取的日志数据。:这是Logstash配置部分,用单引号括起来以确保整个字符串被当作一个参数传递给Logstash。:这个选项允许你直接在命令行中指定Logstash配置。安装包放在 /usr/local/src。
Logstash 详细介绍、安装与使用
一个认真学习的女孩子的博客
03-14 1万+
Logstash 是一个具有实时管道功能的开源数据收集引擎。Logstash可以动态统一来自不同来源的数据,并将数据规范化到您选择的目标中。为了多样化的高级下游分析和可视化用例,清理和使所有数据平等化。虽然 Logstash 最初在日志收集方面推动了创新,但它的能力远远超出了该用例。任何类型的事件都可以通过广泛的输入、过滤和输出插件进行增强和转换,许多本地编解码器进一步简化了摄入过程。Logstash 通过利用更多的数据量和种类加速您的洞察力。Logstash 到 Elastic Cloud 无服务器。
logstash-8.4配置文件
最新发布
07-26
为了帮助用户避免常见的错误,Logstash提供了一个命令行工具,用于检查配置文件的有效性。 Logstash 8.4版本带来了新的功能和改进,例如在安全性方面,可能会增强对配置文件的加密处理,以及对敏感数据的处理机制...
logstash配置文件
07-27
常见的输出插件有`elasticsearch`(将数据索引到Elasticsearch)、`stdout`(在控制台输出数据)和`file`(写入文件)。配置文件中,输出插件的结构如下: ```ruby output { plugin_type { option1 => "value1" ...
Logstash支持哪些输入插件
risc123456的博客
04-28 883
• `start_position`:指定从文件的哪个位置开始读取,可以是`beginning`(从头开始)或`end`(从文件末尾开始)。• 适用场景:适用于与 Redis 集成,从 Redis 的消息队列中接收数据。• 适用场景:适用于物联网(IoT)场景,从 MQTT 消息队列中接收数据。• 适用场景:适用于物联网(IoT)场景,从 MQTT 消息队列中接收数据。• 适用场景:适用于与 Java 应用程序集成,从消息队列中接收数据。• 适用场景:适用于从网络设备、应用程序或其他服务中接收日志或数据。
logstash配置文件.rar
12-18
在给定的“logstash配置文件.rar”压缩包中,我们可以期待找到针对Logstash配置文件,这些文件用于设置不同的数据处理管道,将数据输入到Elasticsearch并进行聚合分析。 首先,我们要理解Logstash的工作原理。...
Logstash学习-配置语法
dizhengu5338的博客
12-20 257
区段(section) Logstash 用{}来定义区域。区域内可以包括插件区域定义,你可以在一个区域定义多个插件插件区域内则可以定义键值对设置。 数据类型 Logstash支持少量的数据值类型: bool  debug => true string  host => "localhost" number  port => 80 array  ma...
logstash配置定时
Iloveskr
05-13 5557
jdbc { # 数据库 jdbc_connection_string => "jdbc:mysql://59.110.240.77:3306/infomation" jdbc_user => "fetter" jdbc_password => "fetter" # mysql驱动解压的位置 jdbc_driver_library => "E:/Download/mysql/mysql-connector-ja.
Logstash配置详解
热门推荐
u012017645的专栏
10-17 2万+
Logstash配置详解
logstash 配置文件详解
qq_33398459的博客
08-06 3266
1: bin / logstash -f second-pipeline.conf --config.test_and_exit 该--config.test_and_exit选项会解析您的配置文件并报告任何错误。当配置文件通过配置测试时,使用以下命令启动 Logstash: bin / logstash -f second-pipeline.conf 2: bin / lo...
logstash的安装与配置
赛赛
08-31 861
介绍 Logstash是elastic技术栈中的一个技术。它是一个数据采集引擎,可以从数据库采集数据到es中。我们可以通过设置自增id主键或者时间来控制数据的自动同步。 id:假设现在有1000条数据,Logstatsh识别后会进行一次同步,同步完会记录这个id为1000,以后数据库新增数据,那么id会一直累加,Logstash会有定时任务,发现有id大于1000了,则增量加入到es中。 时间:同理,一开始同步1000条数据,每条数据都有一个字段,为time,初次同步完毕后,记录这个time,下次同步的时
ELK学习(二)Logstash安装及配置
Cx的博客
07-04 1232
一、安装 官网下载logstash对应系统的安装包即可。二、配置 1.工作流程讲解: 2.mysql同步数据到es配置注:可以在logstash的安装目录中新建一个mysql目录,并创建文件data.conf,将下面内容copy到文件中 三、运行命令 windows执行命令 linux执行命令同理......
Logstash常用配置和日志解析_logstash 日志输出位置
2401_84715926的博客
05-16 2471
syslog { # 系统日志方式type => “system-syslog” # 定义类型port => 10514 # 定义监听端口beats { # filebeats方式filter {#定义数据的格式grok {#定义时间戳的格式date {#定义客户端的IP是哪个字段(上面定义的数据格式)geoip {#需要进行转换的字段,这里是将访问的时间转成int,再传给Elasticsearchmutate {output {
logstash的output配置
07-11
<think>我们正在处理用户关于Logstash输出配置的问题。用户要求提供Logstash output配置的方法和示例。根据提供的引用,我们可以整合相关信息。 引用[1]中提到了Logstash的output插件配置参考链接,引用[2]给出了一个简单的stdout输出配置示例,引用[3]则展示了一个http输出的配置示例。 因此,我们可以为用户提供以下内容: 1. 介绍Logstash输出配置的基本结构。 2. 列举常见的输出插件(如stdout, elasticsearch, file, http等)并提供配置示例。 3. 根据引用[3]中的示例,详细说明http输出的配置方法。 注意:用户的问题集中在输出配置上,因此我们重点讲解output部分。 我们将按照以下结构组织回答: - Logstash输出配置概述 - 常用输出插件配置示例 - 配置注意事项 同时,根据系统指令,我们需要在最后生成相关问题。 由于用户要求使用中文回答,并且需要按照指定的格式要求(如数学公式的格式),但当前问题不涉及数学公式,因此我们主要关注配置示例的代码块和自然语言描述。 另外,根据引用,我们需要在引用的地方添加引用标识,例如[^1]。</think>### Logstash Output 配置指南 Logstash 的输出配置(`output`)负责将处理后的数据传输到目标系统。以下是核心配置方法和常见示例: #### 一、基础配置结构 ```ruby output { # 输出插件配置区域 } ``` #### 二、常用输出插件示例 1. **标准输出(调试用)** 将数据输出到控制台,适合调试: ```ruby output { stdout { codec => rubydebug # 格式化输出 } } ``` 2. **Elasticsearch 输出** 写入Elasticsearch集群[^1]: ```ruby output { elasticsearch { hosts => ["http://es-node1:9200", "http://es-node2:9200"] index => "app-logs-%{+YYYY.MM.dd}" # 按日期分索引 user => "elastic_user" password => "your_password" } } ``` 3. **文件输出** 写入本地文件系统: ```ruby output { file { path => "/var/log/logstash/output.log" codec => line { format => "%{message}" } # 自定义格式 } } ``` 4. **HTTP API 输出** 发送数据到HTTP接口[^3]: ```ruby output { http { url => "http://api.example.com/log" http_method => "post" format => "json" # JSON格式传输 mapping => { "timestamp" => "%{@timestamp}" "message" => "%{message}" } } } ``` 5. **多目标输出** 同时输出到多个目的地: ```ruby output { elasticsearch { ... } # 主存储 file { path => "/backup/logs.json" } # 备份 } ``` #### 三、关键配置参数 | 参数 | 说明 | 示例 | |------|------|------| | `codec` | 数据编码格式 | `json`, `plain`, `rubydebug` | | `workers` | 并发线程数 | `workers => 4` | | `flush_size` | 批量发送条数 | `flush_size => 500` | | `retry_interval` | 失败重试间隔 | `retry_interval => 30` | #### 四、最佳实践 1. **批量写入**:通过`flush_size`和`idle_flush_time`优化写入性能 2. **错误处理**:添加`dead_letter_queue`处理失败事件 3. **模板管理**:Elasticsearch输出时使用`template`指定索引映射 4. **条件输出**:使用`if`条件分流数据 ```ruby output { if [type] == "error" { elasticsearch { ... } # 错误日志单独存储 } } ``` > 完整配置参考:[官方Output插件文档](https://www.elastic.co/guide/en/logstash/current/output-plugins.html)[^1]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值