logstash的使用教程

标签： logstash logstash使用 logstash教程 logstash插件 logstash输入

一、简单使用

cd logstash_HOME
bin/logstash -e ‘input { stdin { } } output { stdout {} }’

启动 Logstash 后，再键入 Hello hiekay，结果如下：

在生产环境中，Logstash 的管道要复杂很多，可能需要配置多个输入、过滤器和输出插件。

因此，需要一个配置文件管理输入、过滤器和输出相关的配置。配置文件内容格式如下：

#　输入
input {
  ...
}

# 过滤器
filter {
  ...
}

# 输出
output {
  ...
}

二、配置使用插件用法

在使用插件之前，我们先了解一个概念：事件。

Logstash 每读取一次数据的行为叫做事件。

在 Logstach_HOME 目录中创建一个配置文件，名为 logstash.conf（名字任意）。

1、输入插件
输入插件允许一个特定的事件源可以读取到 Logstash 管道中，配置在 input {} 中，且可以设置多个。

修改配置文件：

input {
    # 从文件读取日志信息
    file {
        path => "/var/log/syslog"
        type => "system"
        start_position => "beginning"
    }
}

# filter {
#
# }

output {
    # 标准输出
    stdout { codec => rubydebug }
}

其中，syslog 为系统日志。保存文件。
运行

bin/logstash -f logstash.conf

在控制台结果如下：

2、输出插件
输出插件将事件数据发送到特定的目的地，配置在 output {} 中，且可以设置多个。

修改配置文件：

input {
    # 从文件读取日志信息
    file {
        path => "/var/log/syslog"
        type => "error"
        start_position => "beginning"
    }

}

# filter {
#
# }

output {
    # 输出到 elasticsearch
    elasticsearch {
        hosts => ["127.0.0.1:9201"]
        index => "syslog-%{+YYYY.MM.dd}"
    }
}

配置文件中使用 elasticsearch 输出插件。输出的日志信息将被保存到 Elasticsearch 中，索引名称为 index 参数设置的格式。保存文件。
运行

bin/logstash -f logstash.conf

打开浏览器访问 http://127.0.0.1:9100 使用 head 插件查看 Elasticsearch 数据，结果如下图：
3、编码解码插件
编码解码插件本质是一种流过滤器，配合输入插件或输出插件使用。
从上图中，我们发现一个问题：Java 异常日志被拆分成单行事件记录到 Elasticsearch 中，这不符合开发者或运维人员的查看习惯。因此，我们需要对日志信息进行编码将多行事件转成单行事件记录起来。
我们需要配置 Multiline codec 插件，这个插件可以将多行日志信息合并成一行，作为一个事件处理。
Logstash 默认没有安装该插件，需要开发者自行安装。

bin/logstash-plugin install logstash-codec-multiline
修改配置文件：

input {
    # 从文件读取日志信息
    file {
        path => "/var/log/syslog"
        type => "error"
        start_position => "beginning"
        # 使用 multiline 插件
        codec => multiline {
            # 通过正则表达式匹配，具体配置根据自身实际情况而定
            pattern => "^\d"
            negate => true
            what => "previous"
        }
    }

}

# filter {
#
# }

output {
    # 输出到 elasticsearch
    elasticsearch {
        hosts => ["127.0.0.1:9201"]
        index => "syslog-%{+YYYY.MM.dd}"
    }
}

保存文件。
- 运行

bin/logstash -f logstash.conf

使用 head 插件查看 Elasticsearch 数据，结果如下图:

4 过滤器插件
过滤器插件位于 Logstash 管道的中间位置，对事件执行过滤处理，配置在 filter {}，且可以配置多个。
本次测试使用 grok 插件演示，grok 插件用于过滤杂乱的内容，将其结构化，增加可读性。
安装：

bin/logstash-plugin install logstash-filter-grok
修改配置文件：

input {
     stdin {}
}


filter {
     grok {
       match => { "message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER
:duration}" }
     }
}


output {
     stdout {
        codec => "rubydebug"
     }
}

保存文件。
- 运行

bin/logstash -f logstash.conf

启动成功后，我们输入：

127.0.0.1 GET /index.html 16688 0.066

控制台返回：

输入的内容被匹配到相应的名字中。

本文链接：https://blog.csdn.net/u010820857/article/details/82017925

智能推荐

logstash使用

logstash 文章目录 logstash 1、为什么使用ELK 2、什么是Logstash? 3.安装logstash 3.1、下载 3.2、修改jvm.options配置文件 3.2.1、启动测试 3.3、复制logstash-sample.conf为logstash.conf配置文件并修改 3.4、启动 4、logstash插件 4.1、Gemfile文件 4.2、安装gem和ruby 4...

logstash使用

点击下载logstash logstash介绍一、简介 Logstash是一个开源数据收集引擎，具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来，并将数据标准化到你所选择的目的地。 Logstash管道有两个必需的元素，输入和输出，以及一个可选元素过滤器。输入插件从数据源那里消费数据，过滤器插件根据你的期望修改数据，输出插件将数据写入目的地二、使用把下载的文件放到随...

使用visualvm监控logstash的运行

visualvm是一个监控jvm运行的工具。想通过visualvm监控远程虚拟机192.10.15.32中logstash的运行。 visualvm访问remote jvm，需要remote开启授权，有两种授权方式： 1. 通过jstatd启动RMI服务参照网上的做法在/root下新建jstatd.all.policy文件，内容之后，检查一下端口1099是否被占用了？ nets...

ELK（四）：Logstash的安装及使用

一下载和解压缩Logstash安装包下载链接安装二修改配置文件三使用常用参数控制台控制台文件控制台文件 ElasticSearch 多行日志的处理多文件作为输入源过滤掉不需要的日志一、下载和解压缩Logstash安装包下载链接 Logstash-5-6-3的下载页面： https://www.elastic.co/downloads/past-releases/logs...

ElasticSearch（二）Logstash的基础使用

个人博客导航页（点击右侧链接即可打开个人博客）：大牛带你入门技术栈第二周了，今天我们来讲一下Logstash的使用。首先，我们打开ES，使用postman新建一个索引user，在postman里使用PUT方式向localhost:9200/user发送请求。看到返回信息：说明索引建立成功了，如果没有建立成功，可能是因为ES没有开启自动创建索引...