ELK(一)Logstash

最新推荐文章于 2024-08-05 22:55:58 发布
原创 最新推荐文章于 2024-08-05 22:55:58 发布 · 390 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#日志分析 #elk

本文详细介绍Logstash的安装、配置及使用方法,包括input、filter、output各阶段的配置技巧,如file插件、grok正则解析、GeoIP查询等。

关于ELK的历史跟作用在此就不说了,相信网上很多,大家都能够搜到,在此我说下他们的安装及使用。

一、logstash的下载及安装

下载:wget https://artifacts.elastic.co/downloads/logstash/logstash-5.2.2.tar.gz

解压: tar –vzxf logstash-5.2.2.tar.gz

bin/logstash –f logstash.cnf

进行运行logstash.conf 配置文件里面的设置

长期运行:一句话就可以搞定,如果想让某命令在后台长期运行,需要在命令前加 nohup,后面加 &

二、input配置

file插件

在logstash中可以在input里面添加file配置,默认的最小化配置如下:

input {
    file {
        path => "E:/software/logstash-1.5.4/logstash-1.5.4/data/*"
    }
}
filter {
}
output {
    stdout {}
}
注意:文件路径名用绝对路径,并且支持globs写法。

file插件还有一些其他的属性。

file {
        #监听文件的路径
        path => ["E:/software/logstash-1.5.4/logstash-1.5.4/data/*","F:/test.txt"]
        #排除不想监听的文件
        exclude => "1.log"
        #添加自定义的字段(在输出结果中增加一个字段)
        add_field => {"test"=>"test"}
        #增加标签
        tags => "tag1"
        #设置新事件的标志
        delimiter => "\n"
        #设置多长时间扫描目录,发现新文件
        discover_interval => 15
        #设置多长时间检测文件是否修改
        stat_interval => 1
         #监听文件的起始位置,默认是end
        start_position => beginning
        #监听文件读取信息记录的位置
        sincedb_path => "E:/software/logstash-1.5.4/logstash-1.5.4/test.txt"
        #设置多长时间会写入读取的位置信息
        sincedb_write_interval => 15
    }

其中input常用的输入源有:file,syslog,redis,log4j,apache log或nginx log等等

三、codec配置

如果事件数据是json格式,可以加入codec=>json来进行解析 
output{
stdout{
codec=>json
codec=>json_lines{#如果你的json文件比较长,需要换行那么就得用到json_lines的编码方式了
}
}

multiline多行事件编码 
有时候有的日志会用很多行去展现,这么多行其实都是一个事件。比如JAVA的异常日志 

input{
stdin{
codec=>multiline{
charset=>...#字符编码,可选
max_bytes=>#bytes类型,设置最大的字节数,可选
max_lines=>#number类型,设置最大的行数,默认是500行,可选
multiline_tag=>#string类型,设置一个事件标签,默认是"multiline",可选
pattern=>...#string类型,设置匹配的正则表达式,必选
patterns_dir=>...#array类型,可以设置多个正则表达式,可选
negate=>...#boolean类型,设置正向匹配还是反向匹配,默认是false,可选
what=>...#设置未匹配的内容是向前合并还是向后合并,previous,next两个值选择,必选
}
}
}

四、filter配置

Grok正则

使用grok filter需要在logstash的配置文件中加上这样的内容: 
filter {
    grok {
        match => { "message" => "grok_pattern" }
    }
}

这段代码中除了grok_pattern以外都是logstash的关键字。grok_pattern部分需要使用者填充自己的解析方式。

grok_pattern由零个或多个%{SYNTAX:SEMANTIC}组成,其中SYNTAX是表达式的名字,是由grok提供的,例如数字表达式的名字是NUMBER,IP地址表达式的名字是IP。SEMANTIC表示解析出来的这个字符的名字,由自己定义,例如IP字段的名字可以是client。

对于下面的这条日志

55.3.244.1 GET /index.html 15824 0.043

可以这样解析

* client: 55.3.244.1
* method: GET
* request: /index.html
* bytes: 15824
* duration: 0.043

Date插件

filter {
    grok {
        match => ["message", "%{HTTPDATE:logdate}"]
    }
    date {
        match => ["logdate", "dd/MMM/yyyy:HH:mm:ss Z"]
    }
}

数据修改( Mutate)

类型转换是 filters/mutate 插件最初诞生时的唯一功能。可以设置的转换类型包括:"integer""float" "string"。示例如下:

filter {
    mutate {
        convert => ["request_time", "float"]
    }
}

字符串处理:

Split分割

filter {
    mutate {
        split => ["message", "|"]
    }
}

Join 仅对数组类型字段有效

我们在之前已经用 split 割切的基础再 join 回去。配置改成:

filter {

    mutate {

        split => ["message","|"]

    }

    mutate {

        join => ["message",","]

    }

}

merge

合并两个数组或者哈希字段。依然在之前 split 的基础上继续:

filter {

    mutate {

        split => ["message","|"]

    }

    mutate {

        merge => ["message","message"]

    }

}

Merge会将所有的装进一个数组里面

如果 src 字段是字符串,会自动先转换成一个单元素的数组再合并。

GEOIP地址查询归类

filter {

    geoip {

        source => "message"

    }

}

运行结果:

{

       "message" => "183.60.92.253",

      "@version" => "1",

    "@timestamp" => "2014-08-07T10:32:55.610Z",

          "host" => "raochenlindeMacBook-Air.local",

         "geoip" => {

                      "ip" => "183.60.92.253",

           "country_code2" => "CN",

           "country_code3" => "CHN",

            "country_name" => "China",

          "continent_code" => "AS",

             "region_name" => "30",

               "city_name" => "Guangzhou",

                "latitude" => 23.11670000000001,

               "longitude" => 113.25,

                "timezone" => "Asia/Chongqing",

        "real_region_name" => "Guangdong",

                "location" => [

            [0] 113.25,

            [1] 23.11670000000001

        ]

    }

}

GeoIP 库数据较多,如果你不需要这么多内容,可以通过 fields 选项指定自己所需要的。下例为全部可选内容:

filter {

    geoip {

        fields => ["city_name","continent_code", "country_code2","country_code3", "country_name", "dma_code","ip", "latitude", "longitude","postal_code", "region_name", "timezone"]

    }

}

Split拆分事件:

filter {

    split {

        field => "message"

        terminator => "#"

    }

}

会分割成n个事件。

注意:split拆分事件后会直接进入到output阶段,所有的split后的其他插件都不可以用了。

output配置

标准输出:

output {

    stdout {

        codec => rubydebug

        workers => 2

    }

}

保存到文件:

output {

    file {

        path =>"/path/to/%{+yyyy/MM/dd/HH}/%{host}.log.gz"

        message_format =>"%{message}"

        gzip => true

    }

}

输出到elasticsearch

output {

    elasticsearch {

        host => "192.168.0.2"

        protocol => "http"

        index =>"logstash-%{type}-%{+YYYY.MM.dd}"

        index_type => "%{type}"

        workers => 5

        template_overwrite => true

    }

}

输出到redis

input {stdin {} }

output {

    redis {

        data_type => "channel"

        key =>"logstash-chan-%{+yyyy.MM.dd}"

    }

}



ELK大数据日志分析平台--(2)Logstash数据采集和分析
weixin_43215948的博客
10-05 924
logstash简介 Logstash个开源的服务器端数据处理管道。 logstash拥有200多个插件,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的 “存储库” 中。(大多都是 Elasticsearch。) Logstash管道有两个必需的元素,输入和输出,以及个可选元素过滤器。 输入 输入:采集各种样式、大小和来源的数据 Logstash 支持各种输入选择 ,同时从众多常用来源捕捉事件。 能够以连续的流式传输方式,轻松地从您的日志、指标、Web 应用、数
ELKlogstash简介与应用
xi_nuo的博客
11-03 864
现阶段为了实现高性能、高可靠性及高扩展性,基本上所有的服务都采用的集群模式,多服务器多节点部署。如此,我们在开发过程中肯定都会遇到这样个问题,在通过日志定位和分析问题的时候,必须每台机每个节点依次去排查,任务繁琐且易遗漏。当前公司所用的日志收集工具为filebeat,出于对ELK系统中L的好奇,对logstash做了初步了解并完成简单的实现,记录下来,便于查阅。 1、简介 Logstash个开源数据收集引擎,具有实时管道功能,可以动态地将来自不同数据源的数据统起来,并将数据标准化到你所选择的目的
ELK学习笔记之Logstash详解
dengxiangbao3167的博客
11-01 941
0x00 Logstash概述 官方介绍:Logstash is an open source data collection engine with real-time pipelining capabilities。简单来说logstash就是根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道还可以让你根据自己的需求在中间加上滤网...
ELK 安装Logstash
吴吃辣
08-29 281
章节ELK 介绍 ELK 安装Elasticsearch ELK 安装Kibana ELK 安装Beat ELK 安装Logstash ELK中,Logstash不是必须安装的。 Logstash个功能强大的工具,提供了大量的插件,用于解析、加工各种来自数据源的数据。如果Beat采集的数据,需要加工处理后才能使用,就需要将集成Logstash。 要下载安装Logstash,打开个命令行窗...
ELKLogStash
czjnoe的博客
01-24 1370
环境: window10 jdk11 logstash-7.8.0 logstash下载 解压缩目录结构: LogStash是免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库”中 LogStash 是常用的日志采集系统,常用语输出到Elasticsearch 、配置 配置文件结构: # 输入 input { ... } # 过滤器 filter { ... } # 输出 output { ...
ELKlogstash filter grok常见内置模式
weixin_46546303的博客
08-05 1154
QUOTEDSTRING: 匹配带引号的字符串。
docker-elk-logstash:Logstash 泊坞窗图像
07-12
ELK - Logstash 镜像 用于使用图构建 ELK 堆栈的 Logstash 图像。 参见
实战ELKlogstash
08-28
ELK实战,设计到logstash等。
suricata elk kibana logstash安装手册.rar
02-26
免责声明:资料部分来源于合法的互联网渠道收集和整理,部分自己学习积累成果,供大家学习参考与交流。收取的费用仅用于收集和整理资料耗费时间的酬劳。 本人尊重原创作者或出版方,资料版权归原作者或出版方所有,...
ELK —— Logstash 将 MySQL 数据同步至 ElasticSearch
2301_82242204的博客
04-23 1334
是基于Lucence的分布式搜索引擎,也可以作为“数据库”存储些数据,同类产品还有个叫做solr的,这里就不做描述谈到面试,其实说白了就是刷题刷题刷题,天天作死的刷。。。。。为了准备这个“金三银四”的春招,狂刷个月的题,狂补超多的漏洞知识,像这次美团面试问的算法、数据库、Redis、设计模式等这些题目都是我刷到过的并且我也将自己刷的题全部整理成了PDF或者Word文档(含详细答案解析)66个Java面试知识点。
ELKLogstash
知行合一 止于至善
08-21 5135
Elasticsearch/Logstash/Kibana作为目前开源领域最为炙手可热的监控三剑客声名大噪。ELK三者各司其职,本文将极为简单地介绍下如何使用Docker将Logstash跑起来收取数据。
logstash简单使用(ELK
zizai_a的博客
07-30 970
Logstash是具有实时流水线能力的开源的数据收集引擎。Logstash可以动态统不同来源的数据,并将数据标准化到您选择的目标输出。它提供了大量插件,可帮助我们解析,丰富,转换和缓冲任何类型的数据。
日志分析系统ELKLogstash
Tuki来了
08-25 1007
Logstash什么是ELKLogstashKibana 什么是ELK 般我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统收集,管理,访问。 般大型系统是个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情况需要根据问题暴露的
ELKLogstash使用
zc190692107的博客
01-08 424
ELK Logstash使用 文章目录ELK前言、下载安装1、下载2、安装3、Logstash工作原理二、Logstash插件1、常用的input2、常用的filter3、常用的output三、配置介绍1、配置文件2、简单启动3、配置文件启动三、集成Filebeat和ES 前言 Logstash原本是作为日志收集、过滤的工具,但是内存消耗过高,后面被filebeat替代,般的elk架构中只保留Logstash的过滤功能 、下载安装 1、下载 直接从https://www.elastic.co
ELK日志分析平台(L) logstash数据采集
thermal_life的博客
06-11 2734
elk 的第二组件 logstash ,看前请先参考第篇 es 的实战配置 https://blog.youkuaiyun.com/thermal_life/article/details/106646727
Logstash完成ELK集群
kali_yao的博客
09-09 1867
目录 .官方手策使用 二logstash介绍 二.logstash安装 1.logstash安装概述 2.logstash安装准备 3.logstash基础配置安装 4.插件与调试格式 5.服务启动报错 三.插件的使用 1.logstash 配置文件路径 2.插件的管理 3.input file插件(文件插件) 4.filter grok插件 5. output elasticsearch插件 四.远程获取WEB日志 1.beats插件 2.logstash beats插
ELK(Logstash部分二)
weixin_40018205的博客
07-30 238
Logstash部分   Logstash Input  filter  output ES Kibana logstash是什么 logstash个数据采集、加工处理以及传输的工具 logstash特点: 所有类型的数据集中处理 不同模式和格式数据的正常化 自定义数据源轻松添加插件 lostash安装 Logstash 依赖java环境,需要安装java-1.8.0...
ELKLogstash的配置和用法
码农兴哥的技术笔记
08-22 3154
Logstash的配置和用法,以及在ELK中收集系统日志并展示到kibana中的过程。Logstash个开源的、服务端的数据处理pipeline(管道),它可以接收多个源的数据、然后对它们进行转换、最终将它们发送到指定类型的目的地。Logstash是通过插件机制实现各种功能的,可以在下载各种功能的插件,也可以自行编写插件。Logstash实现的功能主要分为接收数据、解析过滤并转换数据、输出数据三个部分,对应的插件依次是input插件、filter插件、output插件。
ELK - LogStash - 安装配置
chuckchen1222的博客
12-24 381
Logstash个具有 real-time pipelining功能的开源数据收集引擎。 Logstash可以动态地统来自不同源的数据,并将数据规范化到选择的目的地。为不同的高级下游分析和可视化用例清理并民主化所有数据。 虽然Logstash最初推动了日志收集方面的创新,但是它的能力远远超出了这个。任何类型的事件都可以通过广泛的输入、过滤器和输出插件数组来丰富和转换,许多本地编解码器进...
ELKLogstash配置
最新发布
03-27
<think>嗯,用户之前问了关于Redis哨兵的配置,现在转向了ELK中的Logstash配置。首先,我需要确认用户对ELK的整体了解程度。ELK是Elasticsearch、Logstash和Kibana的简称,用于日志管理和分析。用户可能已经知道这点,但需要详细讲解Logstash的配置。 用户可能在使用Logstash时遇到了问题,或者想优化现有的配置。考虑到他们之前的问题是关于配置的,这次可能想了解如何正确设置Logstash的配置文件,各个部分的作用,以及常见问题的解决方法。另外,用户可能需要具体的配置示例和最佳实践。 Logstash的配置包括输入、过滤和输出三个部分。输入部分负责数据来源,比如文件、Beats、Kafka等。过滤部分使用插件如Grok来解析和转换数据,输出则发送到Elasticsearch或其他存储。需要详细解释每个部分的配置语法和常用插件。 用户可能对Grok模式不太熟悉,这部分需要举例说明,比如如何解析常见的日志格式。此外,性能优化也是关键,比如调整工作线程、批量处理设置,以及如何处理高负载情况下的性能问题。 还要考虑用户的实际应用场景,比如他们是否处理的是Web服务器日志、应用日志,或是数据库日志。不同的日志类型可能需要不同的过滤策略。同时,用户可能关心错误处理和监控,比如如何处理解析失败的数据,如何监控Logstash的运行状态。 需要提供配置示例,展示个完整的配置文件结构,并分步骤解释每个配置项的作用。此外,常见问题如性能瓶颈、日志解析错误、资源占用过高等,应该给出解决方案和建议。 最后,要确保回答结构清晰,分点说明,方便用户逐步理解和应用。可能还需要比较Logstash与其他工具(如Filebeat)的适用场景,帮助用户做出更适合的选择。</think>--- ### **ELKLogstash 配置详解:数据管道的核心引擎** **Logstash** 是 ELK 技术栈(Elasticsearch + Logstash + Kibana)中的 **数据处理管道**,负责从多种来源采集、解析、转换数据,并输出到目标存储(如 Elasticsearch)。其核心价值在于 **统数据格式** 和 **灵活的数据清洗能力**。 --- #### **Logstash 核心架构** Logstash 配置基于 **插件化管道**,由三阶段构成: ```text Input(输入) → Filter(过滤) → Output(输出) ``` | **阶段** | **功能** | **常用插件** | **典型场景** | | --- | --- | --- | --- | | **Input** | 数据采集 | `file`, `beats`, `kafka`, `jdbc` | 读取日志文件、接收 Beats 数据流 | | **Filter** | 数据清洗 | `grok`, `mutate`, `date`, `json` | 解析日志格式、转换字段类型 | | **Output** | 数据输出 | `elasticsearch`, `stdout`, `kafka` | 写入 Elasticsearch 或调试输出 | --- #### **二、Logstash 配置文件结构** 创建个 `.conf` 文件(如 `logstash-sample.conf`),基本结构如下: ```ruby input { # 输入插件配置(例如从文件读取日志) file { path => "/var/log/nginx/access.log" start_position => "beginning" sincedb_path => "/dev/null" # 禁用 sincedb(测试时使用) } } filter { # 使用 Grok 解析 Nginx 访问日志 grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } # 转换字段类型(如将响应时间转为浮点数) mutate { convert => { "response" => "float" } } # 解析时间戳并替换默认 @timestamp date { match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ] target => "@timestamp" } } output { # 输出到 Elasticsearch elasticsearch { hosts => ["http://localhost:9200"] index => "nginx-access-%{+YYYY.MM.dd}" } # 调试时输出到控制台 stdout { codec => rubydebug } } ``` --- #### **三、关键配置解析** ##### **1. Input 插件配置示例** - **从文件采集日志**: ```ruby file { path => "/var/log/*.log" # 支持通配符 exclude => "*.gz" # 排除压缩文件 start_position => "end" # 默认从文件末尾读取(避免历史数据重复) } ``` - **接收 Filebeat 数据**: ```ruby beats { port => 5044 ssl => true ssl_certificate => "/path/to/logstash.crt" ssl_key => "/path/to/logstash.key" } ``` ##### **2. Filter 插件核心用法** - **`grok` 解析复杂日志**: ```ruby grok { match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:log_level} %{GREEDYDATA:message}" } # 若匹配失败,添加标签便于排查 tag_on_failure => ["_grokparsefailure"] } ``` - **预定义模式**:如 `%{COMBINEDAPACHELOG}` 可解析标准 Apache/Nginx 日志。 - **自定义模式**:在 `patterns_dir` 目录中创建自定义模式文件。 - **`mutate` 字段操作**: ```ruby mutate { rename => { "old_field" => "new_field" } # 重命名字段 remove_field => ["temp_data"] # 删除无用字段 split => { "tags" => "," } # 按分隔符拆分字段 } ``` - **`date` 时间处理**: ```ruby date { match => [ "log_timestamp", "UNIX_MS" ] # 解析 UNIX 毫秒时间戳 target => "@timestamp" # 覆盖默认时间戳 } ``` ##### **3. Output 插件配置技巧** - **写入 Elasticsearch**: ```ruby elasticsearch { hosts => ["http://es-node1:9200", "http://es-node2:9200"] index => "app-logs-%{+YYYY.MM}" # 按月份滚动索引 document_id => "%{fingerprint}" # 自定义文档 ID(避免重复) retry_on_conflict => 3 # 写入冲突时重试次数 } ``` - **输出到 Kafka**: ```ruby kafka { codec => json topic_id => "processed_logs" bootstrap_servers => "kafka1:9092,kafka2:9092" compression_type => "snappy" # 压缩减少带宽占用 } ``` --- #### **四、性能优化配置** 1. **管道线程与批量处理**: ```ruby pipeline { workers => 4 # 并行工作线程数(建议等于 CPU 核心数) batch_size => 125 # 单次处理事件数 batch_delay => 50 # 批次处理间隔(毫秒) } ``` 2. **内存与队列管理**: ```ruby queue { type => "persisted" # 启用磁盘持久化队列(防止数据丢失) max_bytes => "2gb" # 队列最大容量 } ``` 3. **JVM 调优**: 修改 `config/jvm.options`: ```text -Xms4g # 初始堆内存 -Xmx4g # 最大堆内存(建议不超过物理内存的 50%) ``` --- #### **五、调试与排查技巧** - **输出到控制台**: ```ruby output { stdout { codec => rubydebug # 格式化打印完整事件内容 } } ``` - **使用 `--debug` 模式启动**: ```bash bin/logstash -f logstash.conf --debug ``` - **监控 Logstash 状态**: - 查看 `/usr/share/logstash/logs/logstash-plain.log` - 使用 X-Pack 或 Prometheus 监控指标(如事件处理速率、内存使用) --- #### **六、典型问题解决方案** | **问题现象** | **可能原因** | **解决方案** | | --- | --- | --- | | Grok 解析失败 | 日志格式与模式不匹配 | 使用 [Grok Debugger](https://grokdebug.herokuapp.com/) 在线调试模式 | | 数据未写入 ES | 网络不通或索引权限问题 | 检查 `hosts` 配置,测试 `curl http://es-host:9200` | | CPU 占用过高 | Grok 正则复杂或线程过多 | 优化正则表达式,减少 `workers` 数量 | | 内存溢出 | JVM 堆内存不足 | 调整 `-Xmx` 参数,优化过滤器逻辑 | --- #### **七、最佳实践** 1. **字段规范化**: - 统字段命名(如 `user_id` 而非 `uid`) - 删除冗余字段(如原始日志行 `message` 可在解析后移除) 2. **动态索引命名**: ```ruby index => "error-logs-%{+YYYY.MM.dd}" # 按天分索引 ``` 3. **多管道配置**: 在 `config/pipelines.yml` 中定义多个独立管道,隔离不同业务日志处理逻辑。 4. **与 Filebeat 分工**: - Filebeat 负责轻量级日志收集与传输 - Logstash 负责复杂数据处理(解析、富化) --- **总结**:Logstash 的配置灵活性是其核心优势,但也需要根据业务需求合理设计输入、过滤、输出链路。通过优化 Grok 模式、调整线程参数和监控资源使用,可显著提升数据处理效率。对于高吞吐场景,建议结合 Kafka 作为缓冲区,避免数据丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值