ELK-logstash服务端日志收集定制

一颗大卫星

于 2018-05-04 15:43:16 发布

阅读量673

点赞数

CC 4.0 BY-SA版权

分类专栏： ELK 文章标签： elasticsearch logstash filebeat elk storm

本文链接：https://blog.youkuaiyun.com/xyz814/article/details/80193071

ELK 专栏收录该内容

2 篇文章

订阅专栏

该博客介绍了如何配置logstash来接收来自客户端TCP发送及storm节点filebeat扫描的日志。内容包括：客户端日志通过TCP传输至指定端口，logstash的接收设置；storm日志由filebeat读取并发送至logstash；同时讲解了如何解析客户端和storm日志，提取关键信息如模块名称、时间戳和日志级别，并清理无用字段。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

input {
tcp {
host => "logstash-server"
port => 8666
mode => "server"
tags => ["cluster"]
type => "cluster"
codec => json
}
beats {
port => 8665
tags => ["storm"]
type => "storm"
}
}
filter {
if [logger_name] == "com.threadpool.LogExecutor" {
json {
source => "message"
}
mutate {
copy => { "type" => "appname" }
}
}
if [type] == "storm" {
grok{
match => {"message" => "%{SYSLOG5424SD:thread_num} %{SYSLOG5424SD:level}"}
}
grok{
match => {"message" => "%{TIMESTAMP_ISO8601:date}"}
}
date {
match => ["date", "yyyy-MM-dd HH:mm:ss,SSS","ISO8601","yyyy-MM-dd HH:mm:ss"]
target => "@timestamp"
}
mutate {
remove_field => ["date"]
copy => { "type" => "appname" }
}
}
}
output {
stdout {
codec => rubydebug
}
elasticsearch {
hosts => "elasticsearch-server:9200"
index => "%{[appname]}-%{+YYYY.MM.dd}"
user => "admin"
password => "admin"
}

}

客户端日志通过TCP发送到服务端指定端口，配置logstash接收相应日志；

storm计算节点通过filebeat扫描storm日志文件，发送到logstash服务端，配置logstash接收来自filebeat的日志；

解析客户端日志，将操作日志分离出来并赋值模块名称;

解析storm日志，将时间戳和日志级别字段解析出来并覆盖掉logstash内部的相应json字段；

移除解析过程中创建的无用字段。