ELK之Logstash使用

最新推荐文章于 2025-11-10 13:58:06 发布
原创 最新推荐文章于 2025-11-10 13:58:06 发布 · 424 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #elk #es

ELK

Logstash使用

文章目录

前言

Logstash原本是作为日志收集、过滤的工具,但是内存消耗过高,后面被filebeat替代,一般的elk架构中只保留Logstash的过滤功能

一、下载安装

1、下载

直接从https://www.elastic.co/downloads/logstash官网下载即可
下载完成上传的服务器上/usr目录下
这里下载的是6.5.1版本

2、安装

解压

[root@VM-0-2-centos usr]# tar -zxvf logstash-6.5.1.tar.gz -C /usr/local/

改个名字

[root@VM-0-2-centos local]# mv logstash-6.5.1/ logstash/

3、Logstash工作原理

Logstash是一个开源的、服务端的数据处理pipeline(管道),它可以接收多个源的数据、然后对它们进行转换、最终将它们发送到指定类型的目的地。Logstash是通过插件机制实现各种功能的,可以在https://github.com/logstash-plugins 下载各种功能的插件,也可以自行编写插件。

Logstash实现的功能主要分为接收数据、解析过滤并转换数据、输出数据三个部分,对应的插件依次是input插件、filter插件、output插件,其中,filter插件是可选的,其它两个是必须插件。也就是说在一个完整的Logstash配置文件中,必须有input插件和output插件。

二、Logstash插件

1、常用的input

input插件主要用于接收数据,Logstash支持接收多种数据源,常用的有如下几种:

类型说明
file读取一个文件,这个读取功能有点类似于linux下面的tail命令,一行一行的实时读取。
syslog监听系统514端口的syslog messages,并使用RFC3164格式进行解析。
redisLogstash可以从redis服务器读取数据,此时redis类似于一个消息缓存组件。
kafkaLogstash也可以从kafka集群中读取数据,kafka加Logstash的架构一般用在数据量较大的业务场景,kafka可用作数据的缓冲和存储。
filebeatfilebeat是一个文本日志收集器,性能稳定,并且占用系统资源很少,Logstash可以接收filebeat发送过来的数据。

2、常用的filter

filter插件主要用于数据的过滤、解析和格式化,也就是将非结构化的数据解析成结构化的、可查询的标准化数据。常见的filter插件有如下几个:

类型说明
grokgrok是Logstash最重要的插件,可解析并结构化任意数据,支持正则表达式,并提供了很多内置的规则和模板可供使用。此插件使用最多,但也最复杂。
mutate此插件提供了丰富的基础类型数据处理能力。包括类型转换,字符串处理和字段处理等。
date此插件可以用来转换你的日志记录中的时间字符串。
kafkaLogstash也可以从kafka集群中读取数据,kafka加Logstash的架构一般用在数据量较大的业务场景,kafka可用作数据的缓冲和存储。
GeoIP此插件可以根据IP地址提供对应的地域信息,包括国别,省市,经纬度等,对于可视化地图和区域统计非常有用。

3、常用的output

output插件用于数据的输出,一个Logstash事件可以穿过多个output,直到所有的output处理完毕,这个事件才算结束。输出插件常见的有如下几种:

类型说明
elasticsearch发送数据到elasticsearch。
file发送数据到文件中。
redis发送数据到redis中,从这里可以看出,redis插件既可以用在input插件中,也可以用在output插件中。
kafka发送数据到kafka中,与redis插件类似,此插件也可以用在Logstash的输入和输出插件中。

三、配置介绍

1、配置文件

进入/usr/local/logstash/config/目录下可以看到以下文件

[root@VM-0-2-centos config]# ls
jvm.options
log4j2.properties
logstash-sample.conf
#主要用于控制logstash运行时的状态
logstash.yml
pipelines.yml
#运行相关参数
startup.options

我们主要关心logstash-sample.conf即可

2、简单启动

进入/usr/local/logstash目录下

[root@VM-0-2-centos logstash]# bin/logstash -e 'input{stdin{}} output{stdout{codec=>rubydebug}}'

有如下信息即为启动成功

[2021-01-08T17:05:06,890][INFO ][logstash.agent ] Successfully started Logstash API endpoint {:port=>9600}

随便在控制台输入一些文字比如abc,会有如下响应

abc
{
      "@version" => "1",
       "message" => "abc",
    "@timestamp" => 2021-01-08T09:07:28.927Z,
          "host" => "VM-0-2-centos"
}

-e代表执行的意思
input即输入的意思,input里面即是输入的方式,这里选择了stdin,就是标准输入(从终端输入)。
output即输出的意思,output里面是输出的方式,这里选择了stdout,就是标准输出(输出到终端)。
codec是个插件,表明格式。这里放在stdout中,表示输出的格式,rubydebug是专门用来做测试的格式,一般用来在终端输出JSON格式。

“@version”、“host”、"@timestamp" 都是新增的字段, 而最重要的是@timestamp ,用来标记事件的发生时间。
由于这个字段涉及到Logstash内部流转,如果给一个字符串字段重命名为@timestamp的话,Logstash就会直接报错。另外,也不能删除这个字段。

3、配置文件启动

我们进入/usr/local/logstash/config目录下创建一个新文件easy.conf

[root@VM-0-2-centos config]# touch easy.conf

将input{stdin{}} output{stdout{codec=>rubydebug}}复制进去,保存退出,返回上一层到/usr/local/logstash

input { 
	stdin { } 
}
output {
   stdout { codec => rubydebug }
}

前台启动

[root@VM-0-2-centos logstash]# ./bin/logstash -f config/easy.conf

后台启动

[root@VM-0-2-centos logstash]# nohup ./bin/logstash -f config/easy.conf &

三、集成Filebeat和ES

同样的我们进入/usr/local/logstash/config目录下创建一个新文件filebeat_es.conf

[root@VM-0-2-centos config]# touch filebeat_es.conf

vim编辑将如下配置放进去即可

input {
    beats {
        port => "5044"
    }
}
output {
        elasticsearch {
        #可以是集群
        hosts => ["172.19.xx.xx:9200","172.19.xx.xx:9200"]
        index => "test-%{+yyyy-MM-dd}"
        }
}

进入kibana<kibana使用下面会更新>看到日志正常进来说明成功
在这里插入图片描述

zc190692107
关注
Logstash 使用指南
格子先生Lab的博客
03-19 1199
Logstash 是一个数据管道工具,主要用于日志和事件数据的收集、处理和转发。它支持多种数据源和目的地,能够通过插件扩展功能。输入(Input):从各种数据源(如文件、数据库、消息队列等)收集数据。过滤(Filter):对数据进行解析、转换和过滤。输出(Output):将处理后的数据发送到指定的目的地(如 Elasticsearch、文件、数据库等)。Logstash 的灵活性和强大的插件生态系统使其成为处理复杂数据流的理想工具。
ELK日志平台分析(Elasticsearch安装配置+logstash数据采集+Kibana数据可视化+xpack安全验证)
Aimee_c的博客
06-12 5361
文章目录1.Elasticsearch1.1 Elasticsearch介绍1.2 Elasticsearch的安装与配置1.安装软件并修改配置文件2.修改系统限制3.修改systemd启动文件4.elasticsearch插件安装5.更换npm的yum源(要求虚拟机可上网)6.修改es主机ip和端口7.启动head插件8.修改ES跨域主持9.创建索引1.3 配置Elasticsearch集群1.4 Elasticsearch中的节点角色与优化1.Elasticsearch中的节点角色2.Elasticse
logstash使用总结
01-28
ELKLogstash使用配置,文档主要描述如何使用logstash进行数据规则配置过滤。
LogstashLogstash if 使用详解:逻辑控制、实战经验与踩坑指南
最新发布
feizuiku0116的博客
11-10 4564
本文全面解析了Logstash中if条件判断的使用方法,涵盖基础语法、常见场景和实用技巧。Logstash的if支持字段存在性检查、字符串匹配、正则表达式、数值比较和多条件组合,能够实现复杂的数据路由和处理逻辑。作者通过典型示例展示了如何根据日志类型分流、按日志级别过滤、识别日志来源以及数据清洗等实际应用场景。同时文章特别总结了6个常见陷阱:空字段判断、正则格式、输出阶段性能优化、in与等号区别、大小写敏感性问题以及多条件括号使用,帮助开发者避免常见错误。这些经验对于构建高效的Logstash数据处理流水线
logstash使用教程
weixin_34216196的博客
08-24 2894
一、简单使用 cd logstash_HOME bin/logstash -e 'input { stdin { } } output { stdout {} }' 启动 Logstash 后,再键入 Hello hiekay,结果如下: image.png 在生产环境中,Logstash 的...
Logstash使用指南
技术人集结地
11-30 3240
Logstash是一个开源数据收集引擎,具有实时管道功能。它可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。尽管Logstash的早期目标是搜集日志,现在它的功能已完全不只于此。任何事件类型都可以加入分析,通过输入、过滤器和输出插件进行转换。与此同时,还提供了很多原生编解码工具简化消息处理。Logstash通过海量数据处理和多种多样的数据格式支持延伸了我们对数据的洞察力。集中、转换和存储数据是Logstash的典型用法。输入:采集各种样式、大小和来源的数据。
ELKlogstash filter grok常见内置模式
weixin_46546303的博客
08-05 1157
QUOTEDSTRING: 匹配带引号的字符串。
ELKLogstash安装与配置及使用
热门推荐
CleverCode的博客
11-26 1万+
1Logstash介绍 Logstash 是开源的服务器端数据处理管道,能够同时 从多个来源采集数据、转换数据,然后将数据发送到您最喜欢的 “存储库” 中。(我们的存储库当然是 Elasticsearch。) 2、安装jdk # yum -y install java-1.8.0 # java -version java version "1.8.0_51" Jav...
docker安装的ELK使用logstash同步mysql数据
weixin_45739950的博客
08-31 659
一、准备好数据库 1.创建好一张表,添加一些测试数据 2.准备mysql-connector 下载地址为https://dev.mysql.com/downloads/connector/j/下载后解压可以得到connector的jar包 。 我把它放在了"/usr/share/logstash/lib/mysql-connector-java-8.0.11.jar"这个目录下。 二、新建mysql与es交互的配置文件 进入docker logstash容器内 doc...
k8s elklogstash日志数据筛选、合并、字段匹配、索引区分
04-23 1355
【代码】k8s elk之logtash日志数据筛选、合并、字段匹配、索引区分。
实战ELKlogstash
08-28
ELK实战,设计到logstash等。
logstash简单使用ELK
zizai_a的博客
07-30 971
Logstash是具有实时流水线能力的开源的数据收集引擎。Logstash可以动态统一不同来源的数据,并将数据标准化到您选择的目标输出。它提供了大量插件,可帮助我们解析,丰富,转换和缓冲任何类型的数据。
[ELasticSearch]-Logstash使用
liangsena的博客
02-21 1388
Logstash是一款强大的ETL(Extract、Transform、Load)工具。本文介绍了将es、mysql的数据利用Logstash进行迁移的过程
Elasticsearch学习(七)LogStash学习,手把手教你安装LogStash
一天不写代码难受的博客
02-16 978
目录1 什么是LogStash2 为什么使用Logstash3Logstash工作原理3.1Data Source3.2Logstash Pipeline安装Logstash1安装Logstash2启动容器3修改配置4修改输入输出配置5重启容器6查看日志 1 什么是LogStash ELK(Elasticsearch+Logstash+Kibana)中我们使用过Elasticsearch和Kibana,就剩下最后一个LogStash了。 官方文字说明:Logstash 是开源的服务器端数据处理管道,能够同时
ELK学习笔记之Logstash详解
dengxiangbao3167的博客
11-01 941
0x00 Logstash概述 官方介绍:Logstash is an open source data collection engine with real-time pipelining capabilities。简单来说logstash就是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道还可以让你根据自己的需求在中间加上滤网...
Logstash的简单使用
weixin_44303027的博客
06-19 1万+
logstash对mysql的数据获取,处理解析成需要的数据格式并推送到ES
Logstash的部署和使用
Ben_10_的博客
07-03 4620
这个部分定义了 Logstash 处理完数据后应该将数据发送到哪里。在这个例子中,Logstash 将把处理后的数据发送到标准输出(stdout)。通常Logstash的可执行文件位于Logstash安装目录的bin。在这个例子中,Logstash使用 grok 插件来解析从文件中读取的日志数据。:这是Logstash的配置部分,用单引号括起来以确保整个字符串被当作一个参数传递给Logstash。:这个选项允许你直接在命令行中指定Logstash的配置。安装包放在 /usr/local/src。
logstash(1)安装
祈雨v的博客
01-18 372
准备 Github 官网下载 运行 命令行运行 ./bin/logstash -e 'input { stdin { } } output { stdout {} }' 等待数秒logstash输出Successfully started Logstash API endpoint {:port=&gt;9600}的字样时表示logstash启动成功。 控制台输入hello world后回车,l...
ELKLogstash配置
03-27
嗯,用户之前问了关于Redis哨兵的配置,现在转向了ELK中的Logstash配置。首先,我需要确认用户对ELK的整体了解程度。ELK是Elasticsearch、Logstash和Kibana的简称,用于日志管理和分析。用户可能已经知道这一点,但...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值