elk 之logstach管道用法

最新推荐文章于 2025-07-14 23:34:32 发布
原创 最新推荐文章于 2025-07-14 23:34:32 发布 · 364 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elk #elasticsearch #大数据

本文介绍Logstash的日志采集配置方法,包括基本命令使用、输入输出配置、grok过滤器解析日志格式等。提供了从Tomcat日志采集到Elasticsearch存储的具体配置实例。
启动 Logstash
Logstash 的启动命令位于安装路径的 bin 目录中,直接运行 logstash 不行,
需要按如下方式提供参数 :
./logstash -e "input {stdin {}} output {stdout{}}"

bin目录下

1: ./logstash -e "input {stdin {}} output {stdout{}}"

主要是输入和过滤 及 输出流程

例子2:

./bin/logstash -e "input {stdin {}} output {stdout{codec => plain}}"

2:通过定义conf文件来执行:

input { stdin { } }
filter {
    grok {
        match => {
                "message" => "%{WORD:request}\?client=%{WORD:client}&areaCode=%{NUMBER:area}&netWorkId=%{NUMBER:net}"
        }
        remove_field => ["message"]
    }
}
output { stdout {} }
 

1:一个是删除lock,一个是删除上次的偏移量

操作之前 ,删除.lock

std_es.conf 如下:

input { 
    stdin { } 
}
output { 
elasticsearch { 
   hosts => ["http://121.40.42.216:9200"] 
   index => "mystdin" 
   user => "elastic" 
   password => "elasticCll" } 
}

注:会自动创建索引

参考网址1:



ELK快速入门(二)通过logstash收集日志 - 别来无恙- - 博客园

logstash收集tomcat日志

参考网址2:logstash采集日志_木子金丰的博客-优快云博客_logstash日志收集

grok表达式 参考 Grok常用表达式_zhangsaho的博客-优快云博客_grok表达式

input {
  file{
	path => "E:/devetool/apache-tomcat-7.0.77/logs/catalina.2019-07-18.log"
	codec => plain{ charset => "GBK" }
	type => "tomcat-catalina"
  }
  
  file{
	path => "E:/devetool/apache-tomcat-7.0.77/log/disconf-log4j.log"
	type => "disconf-log4j"
	#多行日志合并
	codec => multiline{
      negate => true  #是否匹配到
      pattern => "(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2}.\d{3})" #匹配的正则
      what => "previous" #将没匹配到的合并到上一条,可选previous或next, previous是合并到匹配的上一行末尾
	}
  }
}

#从采集的数据处理
filter{
	grok{
		match => {"message" => "(?<logdatetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2},\d{3})"}
		remove_field => "logdatetime"
		add_field =>{
            "from" => "lifeng"
        }
	}
	date{
        match => ["logdatetime", "yyyy-MM-dd HH:mm:ss,SSS"]   #这里是如果datetime跟后面的格式匹配上了就会去替换,替换什么呢?target默认指的就是@timestamp,所以就是以datetime的时间更新@timestamp的时间
		target => "@timestamp"
	}
}


output{
	if[type] == "tomcat-catalina"{
		elasticsearch{ 
			hosts => "localhost:9200"
			index => "tomcat-catalina-%{+YYYY.MM.dd}" #索引名称
			document_type => "tomcat-catalina" #type
		} 
	}
	
	if[type] == "disconf-log4j"{
		elasticsearch{ 
			hosts => "localhost:9200"
			index => "disconf-log4j-%{+YYYY.MM.dd}" #索引名称
			document_type => "disconf-log4j" #type
		} 
	}
	
	stdout{

	}
}

Grok表达式

55.3.244.1 GET /index.html 15824 0.043

%{IP:client}\s*%{WORD:method}\s*%{URIPATHPARAM:request}\s*%{NUMBER:bytes}\s*%{NUMBER:duration}

 结果如下

127.0.0.1 - - [03/Nov/2021:15:47:20 +0800] "POST /ewj_market/admin/MarketAccountLog/Com_list.action HTTP/1.1" 200 26205


grok表达式1
%{IP:ip}\s*(-\s*)+\[%{HTTPDATE:date}\]\s*\"%{WORD:method}\s*%{NOTSPACE:requestPath}\s*%{NOTSPACE:uri}\"\s*%{POSINT:status}\s*%{POSINT:port}

grok表达式2
%{IP:ip}\s*(-\s*)+\[%{HTTPDATE:date}\]\s*\"%{WORD:method}\s*%{NOTSPACE:requestPath}\s*%{NOTSPACE:uri}\"\s*%{INT:status}\s*%{POSINT:port}



127.0.0.1 - - [03/Nov/2021:15:47:21 +0800] "GET /ewj_market/common_res/js/base64UTF8.js?_=1635925641868 HTTP/1.1" 200 3005

grok表达式
%{IP:ip}\s*(-\s*)+\[%{HTTPDATE:date}\]\s*\"%{WORD:method}\s*%{NOTSPACE:requestPath}\s*%{NOTSPACE:uri}\"\s*%{POSINT:status}\s*%{POSINT:port}

 

 

docker搭建简单elk日志系统5(logstash管道配置文件logstash.conf)
weixin_44835704的博客
04-24 1656
造成这个现象的原因是:@timestamp字段是filebeat收集日志的时间,但是filebeat收集日志并不是应用产生一条日志就收集一条,而是一批一批收集的,也就是最上面两条日志是同一批次收集的,es并不能区分同一批里面日志的先后顺序;而日志里面的时间才是日志真实产生的时间,@timestamp只是收集日志的时间;设置数据流主要是方便设置索引的生命周期,日志会不断地产生,但是磁盘确实有限的资源,所以需要给索引设置生命周期,自动删除那些老旧的日志,为新的日志腾出空间;同logstash.yml中的配置。
ELKElasticsearch+Logstash+Kibana)
Java_soul_GJH的博客
08-19 1502
摘要:本文详细介绍了ElasticsearchLogstash和Kibana三大核心组件的功能特性与部署流程。主要内容包括:1)CentOS 7环境下的安装配置步骤;2)关键参数优化与性能调优方案;3)Kibana数据可视化操作指南;4)安全加固措施与常见问题排查方法。特别提供了生产环境中的典型应用场景,如Web服务器监控、安全审计等,并附有索引生命周期管理、JVM调优等进阶配置示例。全文通过代码片段、配置示例和架构图,系统性地展示了ELK技术栈从部署到优化的完整解决方案。
elk7.7.1【系列十一】logstash声明多个管道
qq_29384639的博客
09-24 396
默认logstash只有一个管道,当conf.d下有多个配置文件时,其实走的都是一个管道,针对不同业务场景,需要配置不同管道进行数据流通。 vim /etc/logstash/pipelines.yml - pipeline.id: conf1 path.config: "/etc/logstash/conf.d/conf1.conf" - pipeline.id: conf2 path.config: "/etc/logstash/conf.d/conf2.conf" 这样不同业务之间
ELK安装、部署、调试(六) logstash的安装和配置
ly4983的专栏
08-30 1982
Logstash是具有实时流水线能力的开源的数据收集引擎。Logstash可以动态统一不同来源的数据,并将数据标准化到您选择的目标输出。它提供了大量插件,可帮助我们解析,丰富,转换和缓冲任何类型的数据。管道Logstash Pipeline)是Logstash中独立的运行单元,每个管道都包含两个必须的元素输入(input)和输出(output),和一个可选的元素过滤器(filter),事件处理管道负责协调它们的执行。
ELK部署与使用详解
qq_51470789的博客
07-14 1304
ELK实战部署
elk处理基础数据_使用ELK堆栈和Ruby构建数据处理管道
cuml0912的博客
07-02 334
elk处理基础数据 应用程序日志通常包含有价值的数据。 我们如何及时,经济地提取这些数据? 作为一个示例应用程序,我们将讨论一个多租户系统,在该系统中我们通过子域托管多个站点。 日志文件中的URL包含路径(/api, /search, etc)和参数(?foo=bar) 。 如果我们不想使用ELK ,则可以使用API​​构建不同的数据处理管道来接收消息,将消息放入队列中,然后由工作人员处理数...
ELK+Kafka+Filebeat日志分析系统详细!!!
m0_64422440的博客
07-13 1655
ElasticSearch是一个基于Lucene的开源分布式搜索服务。只搜索和分析日志特点:分布式,配置简洁,自动发现,索引自动分片,索引副本机制,多数据源等。它提供了一个分布式多用户能力的全文搜索引擎。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是第二流行的企业搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。在elasticsearch集群中,所有节点的数据是均等的。安装软件主机名IP地址系统版本mes-1-zk。
ELK——ElasticStack日志分析平台
611 - 菜鸟运维逆袭架构师之路
07-17 2205
ELK+Kafka构建高并发分布式日志收集系统集群前言kafkakafka特性kafka与ELK相关术语ELK+kafka实战Elasticsearch集群安装配置 前言 kafka 高吞吐量的分布式发布订阅消息系统 kafka特性 通过磁盘数据结构提供消息的持久化,这种结构对于即使数以TB的消息存储也能够保持长时间的稳定性能。 高吞吐量︰即使是非常普通的硬件Kafka也可以支持每秒数百万的消息。 支持通过Kafka服务器和消费机集群来分区消息。 kafka与ELK 业务层可以直接写入到kafka
ELK+Kafka+Filebeat 企业内部日志分析系统(版本6.5.4)
hanjinjuan的博客
09-23 1381
一、ELK ELK:日志搜集平台 ELKElasticSearchLogstash和Kibana三个开源工具组成: 1、组件介绍 (1)Elasticsearch ElasticSearch是一个基于Lucene的开源分布式搜索服务。只搜索和分析日志 特点:分布式,零配置,自动发现,索引自动分片,索引副本机制,多数据源等。它提供了一个分布式多用户能力的全文搜索引擎。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是第二流行的企业搜索引擎。设计用于云计算中,能够
Elastic Stack:ELK
weixin_50620220的博客
12-30 2927
文章目录一、ELK日志分析系统简介 一、ELK日志分析系统简介 1.1Elasticsearch定义 Elasticsearch是一个分布式的开源搜索和分析引擎,适用于所有类型的数据, 包括文本、数字、地理空间、结构化和非结构化数据。Elasticsearch 在Apache Lucene的基础上开发而成,由Elasticsearch N.V.(即现在的Elastic)于2010年首次发布。Elasticsearch以其简单的REST风格API、分布式特性、速度和可扩展性而闻名,是Elastic Stac
logstash 原理(含部署)
weixin_44815878的博客
08-15 885
1、ES原理原理 使⽤filebeat来上传⽇志数据,logstash进⾏⽇志收集与处理,elasticsearch作为⽇志存储与搜索引擎,最后使⽤kibana展现⽇志的可视化输出。所以不难发现,⽇志解析主要还 是logstash做的事情从上图中可以看到,logstash主要包含三⼤模块:1、INPUTS: 收集所有数据源的⽇志数据([源有file、redis、beats等,filebeat就是使⽤了beats源*);
Logstash基础入门
我的博客
08-13 1392
Logstash 是一个开源的数据收集引擎,它具有备实时数据传输能力。它可以统一过滤来自不同源的数据,并按照开发者的制定的规范输出到目的地。顾名思义,Logstash 收集数据对象就是日志文件。由于日志文件来源多(如:系统日志、服务器 日志等),且内容杂乱,不便于人类进行观察。因此,我们可以使用 Logstash 对日志文件进行收集和统一过滤,变成可读性高的内容,方便开发者或运维人员观察,从而有效的分析系统/项目运行的性能,做好监控和预警的准备工作等。
Logstash日志收集实践
******* ▄︻┻┳═一 *******
05-17 7478
一、安装logstach[root@linux-node2 ~]# tar xf /usr/local/src/logstash-5.2.2.tar.gz -C /usr/local/ [root@linux-node2 ~]# mv /usr/local/logstash-5.2.2 /usr/local/logstash二、启动logstash-e:在命令行执行 首先,需要先了解以下几个基本概念
Logstach入门
wuychn
06-16 808
一、下载安装 下载地址:https://www.elastic.co/cn/downloads/past-releases#logstash。下载完成后直接解压即可。 二、Hello World 1、创建配置文件 logstash.conf: input { stdin { } } output { elasticsearch { hosts => ["localhost:92...
ELK详解:ElasticSearchLogstach、Kibana最新版本详解
qq_39594407的博客
05-30 2400
第一节 ElasticSearch概述 1.1 ElasticSearch8.2.0最新版本下载以及安装 1.2 ElasticSearch8.2.0遇到的问题 第二节 Elasticsearch-head概述 1.1 ElasticSearch-head最新版本下载以及安装 1.2 ElasticSearch-head遇到的问题 第三节 Logstash概述 第四节 Kibana概述 1.1 Kibana-8.2.1最新版本下载以及安装 1.2 Kibana-8.2.1遇到的问题
logstash简介及基本操作
热门推荐
yurun_house的博客
10-13 6万+
一:logstash概述: 简单来说logstash就是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道还可以让你根据自己的需求在中间加上滤网,Logstash提供里很多功能强大的滤网以满足你的各种应用场景。 logstash常用于日志系统中做日志采集设备,最常用于ELK中作为日志收集器使用 二:logstash作用: 集中、转换和存储你的数据,是一个开源的服务器端数据处理管道,可以同时从多个数据源获取数据,并对其进行转换,然后将其发送到你最喜欢的“存
软件测试 | 什么是Logstach
慕漓的博客
03-08 253
Filebeat 是一个高性能的日志采集框架,它主要是以 agent 模式工作,特点是高性能。用以解决 logstash 的性能问题,一般我们都会把数据先借助于 filebeat 采集,并存到 redis 里,再由 logstash 对数据进行 编辑变换,再输出到 es 中。logstash 是 ElasticStack(ELK)的一个重要技术组件,用于对数据进行转换处理。他可以接受各种输入 源,并按照记录对数据进行变换,并导出到输出源中。
Logstash原理介绍及应用
长沙老码农
01-29 2万+
目录 1、Logstash安装 2、Logstash原理 2.1 输入、过滤器和输出 2.2 采集各种样式、大小和来源的数据 2.3 实时解析和转换数据 2.4 导出数据 3、 LogStash入门使用 3.1 Input插件 4、Logstash高级使用 4.1 jdbc插件 4.2 syslog插件 4.3 filter插件 4.4 Output插件 logstash是一种分布式日志收集框架,开发语言是JRuby,当然是为了与Java平台对接,不过与Ruby语法兼容良好.
Logstash 详细介绍、安装与使用
一个认真学习的女孩子的博客
03-14 1万+
Logstash 是一个具有实时管道功能的开源数据收集引擎。Logstash可以动态统一来自不同来源的数据,并将数据规范化到您选择的目标中。为了多样化的高级下游分析和可视化用例,清理和使所有数据平等化。虽然 Logstash 最初在日志收集方面推动了创新,但它的能力远远超出了该用例。任何类型的事件都可以通过广泛的输入、过滤和输出插件进行增强和转换,许多本地编解码器进一步简化了摄入过程。Logstash 通过利用更多的数据量和种类加速您的洞察力。Logstash 到 Elastic Cloud 无服务器。
elk集群,yml文件使用方法
最新发布
11-29
ELK集群中,`elasticsearch.yml` 文件是Elasticsearch的重要配置文件,用于配置集群、节点、网络、存储等相关信息。其使用方法如下: 1. **打开配置文件**:使用 `vim` 命令打开配置文件,如 `vim /usr/local/es/config/elasticsearch.yml` [^1]。 2. **清空原有内容**:可使用 `dG` 命令将文件里的内容全部删掉 [^1]。 3. **添加配置内容**:根据不同的集群模式和需求添加相应的配置信息。 - **集群名称**:使用 `cluster.name` 指定集群名称,如 `cluster.name: bjbpe01 - elk` [^1]。 - **初始主节点**:通过 `cluster.initial_master_nodes` 配置初始主节点地址,单节点模式下只填写本机地址 [^1]。 - **节点名称**:使用 `node.name` 为节点命名,如 `node.name: elk01` [^1]。 - **节点角色**:使用 `node.master` 和 `node.data` 分别设置节点是否为主节点和数据节点,`true` 表示是,`false` 表示否 [^1]。 - **数据和日志路径**:使用 `path.data` 和 `path.logs` 分别指定数据和日志的存储路径,如 `path.data: /data/elasticsearch/data` 和 `path.logs: /data/elasticsearch/logs` [^1]。 - **内存和系统调用过滤**:使用 `bootstrap.memory_lock` 和 `bootstrap.system_call_filter` 进行相关设置,通常设置为 `false` [^1]。 - **网络和端口**:使用 `network.host` 指定网络绑定地址,`http.port` 指定HTTP服务端口,`transport.tcp.port` 指定传输层TCP端口 [^1]。 - **发现相关配置**:单节点模式下,将以 `discovery` 开头的行注释;在多节点模式下,`discovery.seed_hosts` 配置种子主机地址,`discovery.zen.minimum_master_nodes` 设置最小主节点数,`discovery.zen.ping_timeout` 和 `discovery.zen.fd.ping_retries` 分别设置ping超时时间和重试次数 [^1]。 - **客户端传输超时**:使用 `client.transport.ping_timeout` 设置客户端传输ping超时时间 [^1]。 - **跨域设置**:使用 `http.cors.enabled` 和 `http.cors.allow-origin` 分别启用跨域和设置允许的跨域来源 [^1]。 ### 示例配置 ```yaml cluster.name: bjbpe01-elk cluster.initial_master_nodes: ["10.12.153.180"] node.name: elk01 node.master: true node.data: true path.data: /data/elasticsearch/data path.logs: /data/elasticsearch/logs bootstrap.memory_lock: false bootstrap.system_call_filter: false network.host: 0.0.0.0 http.port: 9200 transport.tcp.port: 9300 # 单节点模式下,将discovery开头的行注释 # discovery.seed_hosts: ["10.3.145.56","10.3.145.57"] # discovery.zen.minimum_master_nodes: 2 # discovery.zen.ping_timeout: 150s # discovery.zen.fd.ping_retries: 10 client.transport.ping_timeout: 60s http.cors.enabled: true http.cors.allow-origin: "*" ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值