Logstash配置
Logstash配置
通常logstash更经常使用于ELK日志监控系统,做为数据管道php
Logstash:接收,处理,转发日志web
Elasticsearch:文档型数据库,实时的分布式搜索和分析引擎正则表达式
Kibana:查询、生成报表的web GUIredis
Logstash 有两个必要元素:input 和 output ,一个可选元素:filter。shell
input:采集数据,指定数据来源。能够是文件路径,也能够是kafka的某个topic、redis。数据库
filter:筛选、处理数据,剔除多余的数据,生成想要的索引。express
output:将数据传输到目的地,能够是具体文件路径,也能够是kafka、redis。apache
配置
在安装目录bin文件夹里新建一个logstash.conf,用来配置上述所说的输出输出等,将会覆盖logstash.yml默认设置。
通常配置以下:json
# 输入输入 input { stdin {} } # 数据处理 filter { grok { match => ["message", "%{COMBINEDAPACHELOG}"] } } # 数据输出 output { stdout { codec => rubydebug } }
配置文件语法相似Ruby后端
filter
filter中的配置,基本格式以下,plugin都是官方提供的,针对文本作处理,好比正则表达式啊(grok),按固定的格式作切分(kv)等等。选择正确的plugin能够更快速的帮助你解析日志
filter { plugin { XX => "YY" } if expression { plugin { XX => "YY" } } else if expression { plugin { XX => "YY" } } else { plugin { XX => "YY" } } plugin { XX => "YY" } }
关于插件
一、grok:正则表达式插件,功能强大,有许多内置的pattern
以何种规则从字符串中提取出结构化的信息,grok是logstash里的一款插件,能够使用正则表达式匹配日志,上文中的%{COMBINEDAPACHELOG}是内置的正则,用来匹配apache access日志
默认正则:
# Log formats SYSLOGBASE %{SYSLOGTIMESTAMP:timestamp} (?:%{SYSLOGFACILITY} )?%{SYSLOGHOST:logsource} %{SYSLOGPROG}: COMMONAPACHELOG %{IPORHOST:clientip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-) COMBINEDAPACHELOG %{COMMONAPACHELOG} %{QS:referrer} %{QS:agent} # Log Levels LOGLEVEL ([A-a]lert|ALERT|[T|t]race|TRACE|[D|d]ebug|DEBUG|[N|n]otice|NOTICE|[I|i]nfo|INFO|[W|w]arn?(?:ing)?|WARN?(?:ING)?|[E|e]rr?(?:or)?|ERR?(?:OR)?|[C|c]rit?(?:ical)?|CRIT?(?:ICAL)?|[F|f]atal|FATAL|[S|s]evere|SEVERE|EMERG(?:ENCY)?|[Ee]merg(?:ency)?)
二、mutate:字段的CRUD操做,好比替换内容,截取等等
mutate { split=>{"error_request_info"=>",fromuid"} add_field=>{"error_uri"=>"%{error_request_info[0]}"} remove_field=>["error_request_info"] }
三、kv:key-value插件,很是适合URL参数解析一类的具备固定分隔符的日志
#好比解析URL的querystring: a=1&b=2&c=3 filter { kv { field_split => "&" } }
四、json:将json字符串直接转换成对应的key-value
#好比日志为:xxxxxxxxx:xxxxxx&result={"data":"1"}:xxxxxx filter { json { #假设数据经过grok预处理,将result内容捕获 source => "result" } }
#经过json encode后
{
"data": "1"
}
五、drop:直接丢掉本行日志,过滤不符合要求的日志
if "/app/log/logfront" in [content] {
# 特定的处理
drop {}
}
output
配置保存解析结果
- elasticsearch:将事件数据发送给 Elasticsearch(推荐模式)。
- file:将事件数据写入文件或磁盘。
- statsd:将事件数据发送到 statsd (这是一种侦听统计数据的服务,如计数器和定时器,经过UDP发送并将聚合发送到一个或多个可插入的后端服务)
相关文章
- 1. Logstash的配置
- 2. Logstash配置
- 3. logstash 配置
- 4. Logstash Filter 配置
- 5. Logstash配置安装
- 6. logstash配置文件
- 7. logstash的filter配置
- 8. 【logstash】安装配置
- 9. Logstash配置方法
- 10. 21.4. logstash 配置项
- 更多相关文章...
- • Eclipse Debug 配置 - Eclipse 教程
- • Maven 环境配置 - Maven教程
- • IntelliJ IDEA 代码格式化配置和快捷键
- • IDEA下SpringBoot工程配置文件没有提示
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. python的安装和Hello,World编写
- 2. 重磅解读:K8s Cluster Autoscaler模块及对应华为云插件Deep Dive
- 3. 鸿蒙学习笔记2(永不断更)
- 4. static关键字 和构造代码块
- 5. JVM笔记
- 6. 无法启动 C/C++ 语言服务器。IntelliSense 功能将被禁用。错误: Missing binary at c:\Users\MSI-NB\.vscode\extensions\ms-vsc
- 7. 【Hive】Hive返回码状态含义
- 8. Java树形结构递归(以时间换空间)和非递归(以空间换时间)
- 9. 数据预处理---缺失值
- 10. 都要2021年了,现代C++有什么值得我们学习的?
欢迎关注本站公众号,获取更多信息
相关文章
- 1. Logstash的配置
- 2. Logstash配置
- 3. logstash 配置
- 4. Logstash Filter 配置
- 5. Logstash配置安装
- 6. logstash配置文件
- 7. logstash的filter配置
- 8. 【logstash】安装配置
- 9. Logstash配置方法
- 10. 21.4. logstash 配置项