logstash 例子

最新推荐文章于 2024-06-24 20:09:29 发布
原创 最新推荐文章于 2024-06-24 20:09:29 发布 · 968 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍使用Logstash进行多种类型日志收集的实际操作案例,包括Tomcat、Nginx日志及Syslog等,并提供了配置示例。此外还介绍了如何通过正则表达式解析日志、使用Redis缓存日志等高级技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

logstash 例子

概述

1、收集tomcat日志一

  • 使用 [ 作为日志切割
 input {  

	file { 
		type => "es_error"
        path => "E:/install/tempTwo/*.log"
		start_position => beginning
		codec => multiline {
			pattern => "^\["
			negate => true
			what => "previous"
		}
    }  
	
    file { 
		type => "tomcat_error"
        path => "E:/install/temp/*.log"
		start_position => beginning
		codec => multiline {
			pattern => "^\["
			negate => true
			what => "previous"
		}
    }  
} 


output {   

	if [type]  == "es_error" {
	    elasticsearch { hosts => localhost   
                    index => "logstash-es-%{+YYYY.MM.dd}"}  
	}
	
	if [type]  == "tomcat_error" {
	    elasticsearch { hosts => localhost   
                    index => "logstash-tomcat-%{+YYYY.MM.dd}"}  
	}

      
    stdout { codec => rubydebug  }   
}

2、收集tomcat日志二

input {  
    file { 
		type => "tomcat_error"
        path => "E:/install/temp/*.log"
		start_position => beginning
    }  
} 

filter {
    if [type] == "tomcat_error" {
            multiline {
                      pattern => "^[^\[]"
                      what => "previous"
                  }
                mutate {
           split => ["message", "|"]
        }
        grok {
            match => { 
                           "message" => "(?m)%{TIMESTAMP_ISO8601:logtime}"
            }
        }
    }
}
 

output {    
    elasticsearch { hosts => localhost   
                    index => "logstash-cmis-%{+YYYY.MM.dd}"}  
      
    stdout { codec => rubydebug  }   
}

3、收集nginx日志

设置nginx 的日志格式为json

image

image

input {  

	file { 
		type => "access_log"
        path => "E:/install/tempTwo/*.log"
		codec => json
		start_position => beginning
    }  
	 
}

4、收集syslog日志

  • logstash 监听tcp udp的514 端口

  • vim /etc/rsyslog.conf 最后增加

*.* @@192.168.0.11:514

input {  
	syslog { 
		type => "sys_log"
        host => "192.168.0.1"
		port => "514"
    } 
}

4、收集tcp日志

input {  
	tcp { 
		type => "tcp_log"
        host => "192.168.0.11"
		port => "6666"
    } 
}

安装 nc

nc 192.168.56.11 6666 < /etc/resolv.conf

收集slowlog-grok

常用表达式

  • 缺点占用cpu

logstash-patterns-core

https://github.com/logstash-plugins/logstash-patterns-core/tree/master/patterns


https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns

使用redis解耦

  • es停掉不影响日志收集
  • 并发写日志多的时候redis做反冲
  • 对redis可以加预警监控key对应的数据量
  • 对比较复杂的日志收集可以先存储在redis 然后通过python处理后存到es

image

上线

日志分类

  • 系统日志 syslog logstash syslog插件
  • 访问日志 nginx logstash codec json
  • 错误日志 file logstash file+ multiline
  • 运行日志 file logstash codec json
  • 设备日志 syslog logstash syslog 插件
  • debug 日志 logstash debug 日志

日志标准化

    1. 路径 固定
    1. 格式 尽量 json
logstash (?m) 经典例子
zhaoyangjian724的专栏
10-12 1377
在和 codec/multiline 搭配使用的时候,需要注意一个问题,grok 正则和普通正则一样,默认是不支持匹配回车换行的。就像你需要 =~ //m 一样也需要单独指定,具体写法是在表达式开始位置加 (?m) 标记。 \s 空格,和 [\n\t\r\f] 语法一样 (\s*\S+\s*).* 匹配0个或者多个前导字符 简单demo: SELECT t.* FROM
基本的Logstash 例子
zhaoyangjian724的专栏
08-22 1154
基本的Logstash 例子: 为了测试你的Logstash 安装,运行最基本的Logstash 管道: cd logstash-2.3.0 bin/logstash -e 'input { stdin { } } output { stdout {} }' zjtest7-frontend:/usr/local/logstash-2.3.4/bin# ./logstash -e 'inp
测试右移之logstash完整配置实例
hogwarts_beibei的博客
05-07 243
本文节选自霍格沃兹测试学院内部教材 logstash是ElasticStack(ELK)的一个重要技术组件,用于对数据进行转换处理。他可以接受各种输入源,并按照记录对数据进行变换,并导出到输出源中。 安装 docker pull docker.elastic.co/logstash/logstash quick start 简单的输入一行内容,并发送给远程的elastic search服务器 docker run -it --rm logstash -e ' input .
logstash实例简单demo
sunbin11220904的博客
06-21 1044
1.输入:cd /opt/logstash622进入logstash的安装目录 2.输入:./bin/logstash-e‘input{stdin{}}output{stdout{}}’来测试logstash是否正常工 作 3.输入:./bin/logstash-e‘input{stdin{}}output{stdout{codec=>json}}’把控制台输入 的数据转换成json格式的数据,也可以替换成rubydebug类型的 4../bin/logstash-e‘input{stdin{}}ou
Logstash:配置例子
Elastic 中国社区官方博客
07-12 2284
今天看了一下 Elastic 的官方例子。觉得还是很不错。在今天的文章中,我就常见的几种格式的日志来做一个说明,希望对大家有所帮助。关于 Logstash,我之前有做一个 meetup。里面还含有一个完整的例子。你可以在如下的地址进行查看: LogstashLogstash 入门教程 (一) LogstashLogstash 入门教程 (二) 另外,我的另外一篇文章 “Logstash:Data转换,分析,提取,丰富及核心操作” 里面含有丰富的例子供大家阅读。 以下示例说明了如何配置 Logst.
Logstash入门实战
it小奋
03-11 2062
提问:现有一服务用于清理Elasticsearch中索引的文本数据,在这之前需要保证将记录中关联的几张图片也删除掉才能将该条记录完全删除,由于删除图片采用RPC部署的多个删除服务来完成,网络故障自然无法避免,同时对于Elasticsearch数据抓取采用Scroll API以减轻对Elasticsearch的影响,为便于观察数据删除的进度,服务中提供了守护进程用于统计每批次抓取数据的删除情况(图片...
Logstash原理与代码实例讲解
AI天才研究院
06-12 865
Logstash原理与代码实例讲解 1.背景介绍 在当今数据爆炸的时代,海量的数据被不断产生和传输。无论是来自服务器日志、网络数据流、安全监控还是物联网设备,这些数据都需要被高效收集、处理和存储,以便进行后续的分析和利用。然而,由于数据源的多样性和复杂性,单一系统难以胜任这一艰巨任务。这就
最新版linux logstash-8.5.0-linux-x86-64.tar.gz
11-01
在这个例子中,Logstash 从指定的日志文件中读取数据,使用Grok过滤器解析日志格式,然后将处理后的数据发送到本地Elasticsearch实例的特定索引。 值得注意的是,Logstash支持众多插件,如: - 输入插件:file、...
logstash日志抓取搭建
04-26
在这个例子中,Logstash从指定的日志文件路径读取数据,使用Grok插件解析日志格式,将时间戳转换为Elasticsearch可理解的格式,并将处理后的数据发送到本地运行的Elasticsearch实例。 **4. 启动与监控Logstash** ...
logstash-output-jdbc.zip
08-31
在上面的例子中,`jdbc_driver_library` 指定 JDBC 驱动的位置,`jdbc_driver_class` 是数据库驱动的全限定类名,`jdbc_connection_string` 定义了数据库连接字符串,`jdbc_user` 和 `jdbc_password` 分别是数据库的...
Logstash学习1-logstash的简单例子
weixin_30279751的博客
11-24 110
如何安装ELK Redis插件 1. 安装好logstash后。2. 最简单的logstashlogstash -e 'input { stdin { } } output { stdout {} }'直到看到"Pipeline main started"。说明启动成功。这个例子,stdin控制台输入作为数据来源,stdout作为数据结果。输入 hello可以看到2016-11-24T12:...
Logstash 快速入门实例
qingshanli1988的专栏
01-10 1679
原文:http://blog.mreald.com 1.主机分配: 192.168.100.11  redis elasticsearch  logstash(server) 192.168.100.12  logstash(agent) 2.下载: 1 2 wget "https://download.elas
logstash采集数据配置示例
大数据开发
07-12 6405
采集配置 创建配置文件,编写内容 1.采集目录的数据 input { file { type =&gt; "my_type" 类型 path =&gt; "/root/data/1.txt"...
logstash入门(简单而全面)_curl logstash
最新发布
2401_85599413的博客
06-24 1463
为了确保成功运行Logstash建议大家使用较近期的jre版本。可以获取开源版本的jre在:一旦jre已经成功在你的系统中安装完成,我们就可以继续了。
logstach监听TCP和UDP
liuhehe的博客
12-19 822
input { tcp { port =&gt; "9900" type =&gt; "syslog" } } input { udp { port =&gt; "9900" type =&gt; "syslog" } } output { elastic
Kafka->logstash
a2455069943的博客
07-06 579
Kafka->logstash->elasticsearch->kibana(简单,只需启动一个代理程序) Kafka->kafka-connect-elasticsearch->elasticsearch->kibana(与confluent绑定紧,有些复杂) https://github.com/confluentinc/kafka-connect-elasticsearch Kafka->elasticsearch-river-kafka-1.2.1-plugin->elasticsearch->ki
Filebeat+Kafka+Logstash+ElasticSearch+Kibana搭建完整版
weixin_30588907的博客
04-16 869
1. 了解各个组件的作用 Filebeat是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读) Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者规模的网站中的所有动作流数据 Logstash是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道...
kafka+logstash搭建分布式消息订阅系统
大神养成中.....
07-05 2201
首先安装kafka和它的依赖zookeeper我安装的zookeeper版本是zookeeper-3.4.8.tar.gz 直接解压到安装目录下,然后修改/conf/zoo.cfg dataDir修改到自己想要的目录即可。默认端口是2181,一般不需要修改 注意其依赖java,所以如果如果没有装jdk的话需要装一下。 启动命令:bin/zkServer.sh startkafka同样下载解
logstash源码分析
hail100的专栏
10-22 5919
logstash源码分析 http://www.oschina.net/p/logstash
Logstash日期处理插件使用教程
在这个例子中,`match`指令告诉日期插件从事件中查找名为`timestamp`的字段,并假设它的日期格式是`dd/MMM/yyyy:HH:mm:ss Z`。找到后,日期插件会将解析后的日期时间值写入到`@timestamp`字段中,这样Elasticsearch...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值