logstash配置文件的写法解析

最新推荐文章于 2024-08-16 18:44:59 发布
原创 最新推荐文章于 2024-08-16 18:44:59 发布 · 2.3k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#logstash #ELK

本文详细解析了Logstash的配置文件写法,涵盖了从手动输入log到从文件读取log,通过过滤器filter进行格式化,再到将数据输入Elasticsearch并在Kibana中展示。还介绍了日期格式化问题以及如何处理log文件的读取问题。
部署运行你感兴趣的模型镜像

手动输入log,终端打印出消息

/opt/logstash/bin/logstash -e 'input{stdin{}}output{stdout{codec=>rubydebug}}'

然后你会发现终端在等待你的输入。没问题,敲入  test_str,回车,返回下面的结果就是OK的!

 

 

从test.conf文件中写入

一、最基础终端输入输出

input {
    stdin {
        add_field => {"key" => "value"}   #加上新的字段
        codec => "plain"
        tags => ["add"]     
        type => "std"
    }
}
output {
	stdout {
		codec => rubydebug
	}
}

然后运行:

/opt/logstash/bin/logstash -f /opt/conf/test.conf --config.reload.automatic

显示结果:

二、加上过滤filter,可以移除或者格式化成想要的格式的消息

input {
   stdin{
        add_field => {"key" => "value"}
        codec => "plain"
        tags => ["add"]
        type => "std"
   }
}
filter{
    date{
        match => ["datetime", "yyyy-MM-dd HH:mm:ss,SSS"]
        target => "@timestamp"
    }
    mutate {
      # 移除不需要看到的消息
      remove_field => ["host", "tags", "@version", "type"]
    }
}
output {
    stdout {
        codec => rubydebug
    }
}

 TIPS:

  1. host 标记事件发生在哪里。
  2. type 标记事件的唯一类型。
  3. tags 标记事件的某方面属性。这是一个数组,一个事件可以有多个标签。

三、输入到elasticsearch中,并且在kabana中展示数据。

input {
    stdin {
        type => "test"
        tags => ["wq"]
    }
}
filter{
    date{
        match => ["datetime", "yyyy-MM-dd HH:mm:ss,SSS"]
        target => "@timestamp"
     }
}
output {
    if "wq" in [tags] {
        elasticsearch {
            index => "log-2019-12-20_wang"
            hosts => ["127.0.0.1:9200"]
        }
        stdout {
            codec => rubydebug
        }
    }
}

终端正常打印

并且elasticsearch中接收到并在kibana(http://ip:5601)中展示相关数据

四、从log文件中读取数据并且展示到kibana上

 test.conf文件中内容:

input {
    file {
        path => "/opt/logs/access.log"  # 填写容器内部log文件路径
        start_position => "beginning"   # 从文件开始处开始读取
        type => "elasticsearch"
    }
}
filter{
    date{
        match => ["datetime", "yyyy-MM-dd HH:mm:ss,SSS"]
        target => "@timestamp"
    }
    mutate {
      # 屏蔽掉不想要的属性
      remove_field => ["host", "@version", "_id", "_score"]
    }
}
output {
    if "_grokparsefailure" not in [tags] and "_dateparsefailure" not in [tags]{
        elasticsearch {
            index => "log-2019-12-20_wang"
            hosts => ["127.0.0.1:9200"]
        }
        stdout {
            codec => rubydebug
        }
    }
}

 access.log 文件中内容为:test_access.log

终端打印出log文件中的内容,存放在message中,并且如愿屏蔽掉一些属性("host", "@version", "_id", "_score"):

存放到elasticsearch中,并且在kibana上显示,屏蔽掉一些属性("host","@version"),添加一条文件路径属性(path):

五、使用grok插件格式化数据,并展示到页面上

test.conf中的配置:

input {
    file {
        path => "/opt/logs/access.log"  # 填写容器内部log文件路径
        start_position => "beginning"   # 从文件开始处开始读取
        type => "elasticsearch"
        sincedb_path => "/dev/null"
    }
}
filter {
  grok {
    match => [ "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" ]
  }
}

output {
        elasticsearch {
            index => "log-2019-12-20_wang"
            hosts => ["127.0.0.1:9200"]
        }
        stdout {
            codec => rubydebug
        }
   
}

root@3a718e715b4c:/# cat /opt/logs/access.log
192.168.194.6 GET /index.html 15824 0.043

执行命令后:

/opt/logstash/bin/logstash -f /opt/conf/test.conf --config.reload.automatic

可以看到message中的内容分解成了单独的属性展示出来,这就是格式化成功了。

==========================================================================================

TIPS:在test.conf配置文件的时候,在使用file,从log文件中读取文件的时候,有一个小坑:

input {
    file {
        path => "/opt/logs/access.log"  # 填写容器内部log文件路径
        start_position => "beginning"   # 从文件开始处开始读取
        type => "elasticsearch"
        sincedb_path => "/dev/null"     #强制从头开始读文件,没有这行就读不出文件
    }
}

sincedb_path => "/dev/null"     #当日志内容没有变更时,从头开始读文件

在你第一次配置时,运行logstash对日志文件进行的读取操作,然后输出到了控制台,这个过程logstash会记录自己读取完日志文件的位置,然后将自己读取内容的偏移量保存到一个隐藏文件中(默认位置是~/.sincedb_****文件);当我们配置了filer之后,启动logstash后,logstash从隐藏文件中的读取完成的日志文件位置知道,日志文件并没有发生改变。所以,logstash并没有对日志文件再次进行读取,所以控制台没有任何输出。

但是如果我们设置为 /dev/null这个 Linux 系统上特殊的空洞文件,那么 logstash 每次重启进程的时候,尝试读取 sincedb 内容,都只会读到空白内容,也就会理解成之前没有过运行记录,自然就从初始位置开始读取了!

六、收集并展示nginx产生的log日志

 安装配置好nginx后(安装配置nginx可以看参照https://blog.youkuaiyun.com/qq_40673345/article/details/103661210),编辑配置文件: 

vim /usr/local/nginx/conf/nginx.conf

 在http里面加上:

    log_format json '{"@timestamp":"$time_iso8601",'
                    '"@version":1,'
                    '"host":"$server_addr",'
                    '"client":"$remote_addr",'
                    '"size":$body_bytes_sent,'
                    '"responsetime":$request_time,'
                    '"domain":"$host",'
                    '"url":"$uri",'
                    '"status":"$status"}';

    access_log /opt/elk-data/logs/access.log  json;

配置截图如下:

复制会话,打开另一个终端,使用如下命令开启nginx:

curl localhost:80

会出现:

查看access.log文件中是否收集到日志:

cat /opt/elk-data/logs/access.log

会出现:

说明日志收集成功,然后将logstash 的配置文件加上filter

input {
    file {
        path => "/opt/logs/access.log"  # 填写容器内部log文件路径
        start_position => "beginning"   # 从文件开始处开始读取
        type => "elasticsearch"
        sincedb_path => "/dev/null"
    }
}
filter {
    json{
	source => "message"
    }
}
output {
        elasticsearch {
            index => "log-2019-12-20_wang"
            hosts => ["127.0.0.1:9200"]
        }
        stdout {
            codec => rubydebug
        }
   
}

运行logstash,终端打印出日志内容:

/opt/logstash/bin/logstash -f /opt/conf/test.conf --config.reload.automatic

kibana也正常显示:

 

 

 

 

 

 

==========================================================================================

关于logstash的日期格式化

logstash.conf:

input {
    file {
        path => "/opt/logs/access.log"  # 填写容器内部log文件路径
        start_position => "beginning"   # 从文件开始处开始读取
        type => "elasticsearch"
        sincedb_path => "/dev/null"
    }
}
filter {
    json{
        source => "message"
    }
    # 获取当天的日期
    ruby {
        code => "event.set('index_time',event.timestamp.time.localtime.strftime('%Y.%m.%d'))"
    }
}
output {
    if "_jsonparsefailure" not in [tags] and "_dateparsefailure" not in [tags]{
        elasticsearch {
            # 赋值到index中
            index => "bosslove-test-%{index_time}"
            hosts => ["127.0.0.1:9200"]
        }
        stdout {
            codec => rubydebug
        }
   }
}

access.log:

[root@localhost ~]# cat /opt/elk-data/logs/access.log 

{"@timestamp":"2019-12-24T17:30:38+08:00","@version":1,"host":"127.0.0.1","client":"127.0.0.1","size":612,"responsetime":0.000,"domain":"localhost","url":"/index.html","status":"200"}

终端打印:

kibana显示:

删除log中的timestamp后发现,table里面的timestamp就是比json里的多八小时

原因在于centos的系统时间和我们的网络时间不一致,需要同步网络时间

(参考:https://blog.youkuaiyun.com/qq_40673345/article/details/103684318

NTP同步后,kibana的时间就是当前时间了

下面截图的红框标出的,上面的时间是logstash日志上传到elasticsearch的时间,下面的时间是nginx启动时上传日志的时间。虽然两个时间一致,但是意义不一样。

 

==========================================================================================

 

 

持续更新中…………………………

 

 

 

 

 

 

 

您可能感兴趣的与本文相关的镜像

Langchain-Chatchat

Langchain-Chatchat

AI应用
Langchain

Langchain-Chatchat 是一个基于 ChatGLM 等大语言模型和 Langchain 应用框架实现的开源项目,旨在构建一个可以离线部署的本地知识库问答系统。它通过检索增强生成 (RAG) 的方法,让用户能够以自然语言与本地文件、数据库或搜索引擎进行交互,并支持多种大模型和向量数据库的集成,以及提供 WebUI 和 API 服务

Logstash的介绍和配置书写
LINUX(云计算)
06-19 743
Logstash是一个数据采集、加工处理以及传输的工具 • 特点: – 所有类型的数据集中处理; – 不同模式和格式数据的正常化; – 自定义日志格式的迅速扩展; – 为自定义数据源轻松添加插件; Logstash安装: – Logstash依赖Java环境,需要安装java-1.8.0-openjdk – Logstash没有默认的配置文件,需要手动配置 – Logstash安装在/opt/l...
Logstash配置语法
weixin_45880055的博客
08-11 4519
文章目录Logstash基本语法组成Logstash输入插件(Input)Logstash编码插件(Codec)Logstash过滤器插件(Filter插件)Logstash输出插件(output) Logstash基本语法组成 logstash之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程中。 Logstash配置文件有如下三部分组成,其中input、output部分是必须配置,filt
logstash配置文件
08-30
配置文件logstash的stdin、file、tcp、udp、syslog、beats、grok、elasticsearch插件配置
logstash 配置文件编写详解
人生无处不修行
09-28 1万+
说明 它一个有jruby语言编写的运行在java虚拟机上的具有收集分析转发数据流功能的工具 能集中处理各种类型的数据 能标准化不通模式和格式的数据 能快速的扩展自定义日志的格式 能非常方便的添加插件来自定义数据 通过在配置文件编写输入(input),过滤(filter),输出(output)相关规则,对数据收集转发。 配置文件编写语法 大致格式如下 # 输入 input { ... } #...
(精华)2020年10月2日 微服务 logstash的使用
热门推荐
时光隧道
09-04 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
logstash详解
最新发布
qq_44027353的博客
08-16 6227
Logstash通过管道完成数据的采集与处理,管道配置中包含input、output和filter(可选)插件,input和output用来配置输入和输出数据源、filter用来对数据进行过滤或预处理。Logstash 是免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的存储库中。通过Logstash过滤器解析各个事件,识别已命名的字段来构建结构,并将它们转换成通用格式,最终将数据从源端传输到存储库中。机器宕机,数据也不会丢失;
Logstash 数据采集框架详解
tian830937的专栏
01-13 2162
文件描述配置Logstash的yml。包含在单个Logstash实例中运行多个管道的框架和说明。配置Logstash的JVM,使用此文件设置总堆空间的初始值和最大值,此文件中的所有其他设置都被视为专家设置。包含log4j 2库的默认设置。
3.Logstash配置语法
大勇若怯任卷舒
03-10 2138
3.1 Logstash的语法 Logstash 设计了自己的 DSL,基本的语法功能包括有: 区域 注释 数据类型(布尔值,字符串,数值,数组,哈希)  条件判断 字段引用等 3.2 区段(section) Logstash 用 {} 来定义区域。区域内可以包括插件区域定义,你可以在一个区域内定义多个插件。 插件区域内则可以定义键值对设置。示例如下: 3.3 数据类型 Logstash 支持少量的数据值类型: bool debug => true string host
logstash.conf配置文件放在项目中什么位置,完整写法是什么
06-08
Logstash配置文件可以放在任何你喜欢的位置,只要在启动时指定配置文件路径即可。一般来说,建议将配置文件放在项目的根目录下,文件名为 `logstash.conf`。 完整的配置文件内容如下: ``` input { tcp { ...
Logstash 原理分析/配置文件详解 时间 日期 时区 ip 反斜杠 grok在线地址 类型转换
浮生若梦
10-05 6575
基本配置 Logstash 本身不能建立集群,Filebeat 连接 Logstash 后会自动轮询 Logstash 服务器是否可用,把数据发送到可用的 Logstash 服务器上面去 Logstash 配置,监听5044端口,接收 Filebeat 发送过来的日志,然后利用 grok 对日志过滤,根据不同的日志设置不同的 type,并将日志存储到 Elasticsearch 集群上面 项目...
ELK安装、部署、调试 (八)logstash配置语法详解
ly4983的专栏
09-01 1704
于.sincedb_234534534sdfgsfd23,<path.data>为logstash的插件存储目录默认是LOGSTASH_HOME/data实验一:本机/var/log/secure为输入日志,标准输出。nohup /usr/local/logstash/bin/logstash -f /usr/local/logstash/2logstash-1.conf &4.查看。**********************************************实验四:读取tcp网络数据。
logstash启动conf的编写实例
小白博客
01-04 3652
logstash启动时,可以指定启动的配置文件,如下是基本配置文件的编写实例 以后编写时,可作为参考: input { stdin{} jdbc { jdbc_connection_string =&amp;gt; &quot;jdbc:sqlserver://xxx:1433;DatabaseName=xxxx&quot; jdbc_user =&amp;gt; &quot;xxxx&quot;
Logstash配置——变量的使用
choulengfu8923的博客
07-24 5132
前置条件:Linux Logstash 5.5.0(其他版本请查阅一下文档) 使用logstash把日志从文件输出到文件,根据输入文件的路径,确定输出文件的文件名。配置如下: input { stdin{} file { path => "/tmp/a...
Logstash语法
sunqingok的博客
03-31 2780
1、 区段 {}定义区域 2、 数据类型 1) 希尔值 bool debug=>true 2) 字符串 string host=>”hostname” 3) 数值 number port=>514 4) 数组 array match=>[“datetime”,”linux”,”2020”] 数组支持倒序下标 5) 哈希 hash options =&g...
Linux中修改环境变量及生效方法
jsugs的博客
12-27 1万+
注: 部分概念介绍来源于网络 方法一(对所有用户生效(永久的)): 在/etc/profile文件中添加变量 用vim /etc/profile文件中增加变量。 export PATH=/home/opt 要让刚才的修改马上生效,需要执行以下代码 # source /etc/profile 验证是否成功 echo $PATH 验证 env 查看所有环境变量 方法二(对单一用户生效(永久的)): 在用户目录下的~/.bash_profile文件中增加变量 用vim在用户目录下的~/.bash_prof..
ELK日志分析系统简
隐藏角落的光
08-31 800
ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。ElasticSearch:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。...
插件配置
wuychn
06-16 1396
一、输入插件 Logstash配置一定要有一个input和一个output。如果没有写明input,默认会使用logstash-input-stdin,没有写明output,默认会使用logstash-output-stdout。 1.1 标准输入 示例配置如下: input { stdin { add_field => {"key" => "value"} ...
Logstash解析嵌套JSON格式数据&常见时间操作
XMZHSY的博客
11-30 9683
嵌套Json格式数据 JSON格式一 有如下JSON日志(position下是一个JSON) { "RequestTime":1637737587605, "timestamp":"2021-11-24T15:06:42.681Z", "position":{ "LogType":"请求日志", "TopDirectory":"stream_ad_v1", "RequestIp":"127.0.0.1" } } 将其.
LogStash的配置详解
趣学程序
06-27 5666
配置语法logstash主要配置input、filter、output区段Logstash用{}来定义区域。区域内可以包括插件去预定义,可以在一个区域内定义多个插件。插件区域则可以定义键值对来设置。示例:input { stdin{} syslog{}}数据类型Logstash支持少量的数据值类型:•booldebug => true•stringhost => "loc...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值