2. 程式人生 > >Logstash筆記(二) ----input插件

Logstash筆記(二) ----input插件

阿新 發佈:2017-05-24
hello world

在"hello World" 示例中,我們已經見到並介紹了Logstash 的運行流程和配置的基礎語法。 請記住一個原則:Logstash 配置一定要有一個 input 和一個 output。在演示過程中,如果沒有寫明 input,默認就會使用 "hello world" 裏我們已經演示過的 input/stdin ,同理,沒有寫明的 output 就是 output/stdout

如果有什麽問題的話,請查看該文檔http://udn.yyuap.com/doc/logstash-best-practice-cn/input/index.html。以下是input插件的具體解釋:

(1),標準輸入。type和tags是logstash事件中特殊的字段。 type 用來標記事件類型

—— 我們肯定是提前能知道這個事件屬於什麽類型的。而 tags 則是在數據處理過程中,由具體的插件來添加或者刪除的

[[email protected] test]# vim stdin.conf 
input {
    stdin {
        add_field => {"key" => "value"}
        codec => "plain"
        tags => ["add"]
        type => "std-lqb"
    }
}
output {
     stdout {
                        codec => rubydebug
                }
}
[[email protected]
/* */ logstash]# /usr/local/logstash/bin/logstash -f test/stdin.conf Settings: Default pipeline workers: 1 Logstash startup completed hello world { "message" => "hello world", "@version" => "1", "@timestamp" => "2017-05-24T08:11:45.852Z", "type" => "std-lqb", "key" => "value", "tags" => [ [0] "add" ], "host" => "localhost.localdomain" } abclqb { "message" => "abclqb", "@version" => "1", "@timestamp" => "2017-05-24T08:13:21.192Z", "type" => "std-lqb", "key" => "value", "tags" => [ [0] "add" ], "host" => "localhost.localdomain" } #####對stdin進行修改,添加tags列 [[email protected]
/* */ test]# vim stdin.conf input { stdin { add_field => {"key" => "value2222222222222222222222222222222222222222222 2"} codec => "plain" tags => ["add","xxyy","abc"] type => "std-lqb" } } output { stdout { codec => rubydebug } } [[email protected] logstash]# /usr/local/logstash/bin/logstash -f test/stdin.conf Settings: Default pipeline workers: 1 Logstash startup completed hello world { "message" => "hello world", "@version" => "1", "@timestamp" => "2017-05-24T09:07:43.228Z", "type" => "std-lqb", "key" => "value22222222222222222222222222222222222222222222", "tags" => [ [0] "add", [1] "xxyy", [2] "abc" ], "host" => "localhost.localdomain" } #########根據tags來進行判斷: [[email protected] test]# vim stdin_2.conf input { stdin { add_field =>{"key11"=>"value22"} codec=>"plain" tags=>["add","xxyy"] type=>"std" } } output { if "tttt" in [tags]{ stdout { codec=>rubydebug{} } } else if "add" in [tags]{ stdout { codec=>json } } } [[email protected] logstash]# /usr/local/logstash/bin/logstash -f test/stdin_2.con f Settings: Default pipeline workers: 1 Logstash startup completed yyxxx {"message":"yyxxx","@version":"1","@timestamp":"2017-05-24T09:32:25.840Z","type":"std","key11":"value22","tags":["add","xxyy"],"host":"localhost.localdomain"} {"message":"","@version":"1","@timestamp":"2017-05-24T09:32:32.480Z","type":"std","key11":"value22","tags":["add","xxyy"],"host":"localhost.localdomain"}xxyy {"message":"xxyy","@version":"1","@timestamp":"2017-05-24T09:32:42.249Z","type":"std","key11":"value22","tags":["add","xxyy"],"host":"localhost.localdomain"}

(2).讀取文件。Logstash 使用一個名叫 FileWatch 的 Ruby Gem 庫來監聽文件變化。這個庫支持 glob 展開文件路徑,而且會記錄一個叫 .sincedb 的數據庫文件來跟蹤被監聽的日誌文件的當前讀取位置。所以,不要擔心 logstash 會漏過你的數據.

[[email protected] test]# cat  log.conf
input {  
  file {  
   path =>"/usr/local/nginx/logs/access.log"
   type=>"system"  
  start_position =>"beginning"  
}  
}  
  
output {  
        stdout {  
                        codec => rubydebug  
                }   
}

[[email protected] logstash]# /usr/local/logstash/bin/logstash -f test/log.conf 
Settings: Default pipeline workers: 1
Logstash startup completed
{
       "message" => "192.168.181.231 - - [24/May/2017:15:04:29 +0800] \"GET / HTTP/1.1\" 502 537 \"-\" \"Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36\" \"-\"",
      "@version" => "1",
    "@timestamp" => "2017-05-24T09:39:16.600Z",
          "path" => "/usr/local/nginx/logs/access.log",
          "host" => "localhost.localdomain",
          "type" => "system"
}
{
       "message" => "192.168.181.231 - - [24/May/2017:15:04:32 +0800] \"GET / HTTP/1.1\" 502 537 \"-\" \"Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36\" \"-\"",
      "@version" => "1",
    "@timestamp" => "2017-05-24T09:39:16.614Z",
          "path" => "/usr/local/nginx/logs/access.log",
          "host" => "localhost.localdomain",
          "type" => "system"
}

解釋:

有一些比較有用的配置項,可以用來指定 FileWatch 庫的行為:

  • discover_interval

logstash 每隔多久去檢查一次被監聽的 path 下是否有新文件。默認值是 15 秒。

  • exclude

不想被監聽的文件可以排除出去,這裏跟 path 一樣支持 glob 展開。

  • sincedb_path

如果你不想用默認的 $HOME/.sincedb(Windows 平臺上在 C:\Windows\System32\config\systemprofile\.sincedb),可以通過這個配置定義 sincedb 文件到其他位置。

  • sincedb_write_interval

logstash 每隔多久寫一次 sincedb 文件,默認是 15 秒。

  • stat_interval

logstash 每隔多久檢查一次被監聽文件狀態(是否有更新),默認是 1 秒。

  • start_position

logstash 從什麽位置開始讀取文件數據,默認是結束位置,也就是說 logstash 進程會以類似 tail -F 的形式運行。如果你是要導入原有數據,把這個設定改成 "beginning",logstash 進程就從頭開始讀取,有點類似 cat,但是讀到最後一行不會終止,而是繼續變成 tail -F

註意

  1. 通常你要導入原有數據進 Elasticsearch 的話,你還需要 filter/date 插件來修改默認的"@timestamp" 字段值。稍後會學習這方面的知識。

  2. FileWatch 只支持文件的絕對路徑,而且會不自動遞歸目錄。所以有需要的話,請用數組方式都寫明具體哪些文件。

  3. LogStash::Inputs::File 只是在進程運行的註冊階段初始化一個 FileWatch 對象。所以它不能支持類似 fluentd 那樣的 path => "/path/to/%{+yyyy/MM/dd/hh}.log" 寫法。達到相同目的,你只能寫成 path => "/path/to/*/*/*/*.log"

  4. start_position 僅在該文件從未被監聽過的時候起作用。如果 sincedb 文件中已經有這個文件的 inode 記錄了,那麽 logstash 依然會從記錄過的 pos 開始讀取數據。所以重復測試的時候每回需要刪除 sincedb 文件。

  5. 因為 windows 平臺上沒有 inode 的概念,Logstash 某些版本在 windows 平臺上監聽文件不是很靠譜。windows 平臺上,推薦考慮使用 nxlog 作為收集端


(3).TCP輸入。未來你可能會用 Redis 服務器或者其他的消息隊列系統來作為 logstash broker 的角色。不過 Logstash 其實也有自己的 TCP/UDP 插件,在臨時任務的時候,也算能用,尤其是測試環境。

[[email protected] test]# cat tcp.conf 
input {  
 tcp {  
   port =>8888  
   mode=>"server"  
  ssl_enable =>false  
 }  
}  
  
output {  
        stdout {  
                        codec => rubydebug  
                }  
}
[[email protected] logstash]# /usr/local/logstash/bin/logstash -f test/tcp.conf 
Settings: Default pipeline workers: 1
Logstash startup completed
{
       "message" => "GET /jenkins/ HTTP/1.1\r",
      "@version" => "1",
    "@timestamp" => "2017-05-24T10:09:53.980Z",
          "host" => "192.168.181.231",
          "port" => 59426
}
{
       "message" => "Host: 192.168.180.9:8888\r",
      "@version" => "1",
    "@timestamp" => "2017-05-24T10:09:54.175Z",
          "host" => "192.168.181.231",
          "port" => 59426
}
{
       "message" => "Connection: keep-alive\r",
      "@version" => "1",
    "@timestamp" => "2017-05-24T10:09:54.180Z",
          "host" => "192.168.181.231",
          "port" => 59426
}

備註:先關閉8888端口的應用,再開啟,會輸出如下日誌。


本文出自 “清風明月” 博客,請務必保留此出處http://liqingbiao.blog.51cto.com/3044896/1929103

Logstash筆記(二) ----input插件

相關推薦

Logstash筆記 ----input

hello world 在"hello World" 示例中,我們已經見到並介紹了Logstash 的運行流程和配置的基礎語法。 請記住一個原則:Logstash 配置一定要有一個 input 和一個 output。在演示過程中,如果沒有寫明 input,默認就會使用 "hello worl

Logstash筆記-----grok的正則表達式來解析日誌

linux grok (一)簡介: 豐富的過濾器插件的存在是 logstash 威力如此強大的重要因素。名為過濾器,其實提供的不單單是過濾的功能,它們擴展了進入過濾器的原始數據,進行復雜的邏輯處理,甚至可以無中生有的添加新的 logstash 事件到後續的流程中去! Grok 是 L

Logstash筆記 ----output

output . logstash (一),標準輸出 和之前 inputs/stdin 插件一樣,outputs/stdout 插件也是最基礎和簡單的輸出插件。同樣在這裏簡單介紹一下,作為輸出插件的一個共性了解配置事例:output { stdout { codec =&g

分散式日誌收集之Logstash 筆記

今天是2015年11月06日,早上起床,北京天氣竟然下起了大雪,不錯,最近幾年已經很少見到雪了,想起小時候冬天的樣子,回憶的影子還是歷歷在目。  進入正題吧,上篇介紹了Logstash的基礎知識和入門demo,本篇介紹幾個比較常用的命令和案例  通過上篇介紹,我們大體知道了整個logstash處理日誌的流程

MITK: 生成

nag png 設置 dir image follow mark type .exe 簡述 MITK(一)中編譯了MITK軟件,本文在此基礎上生成MITK插件。編譯環境請參考上一篇文章,簡要步驟如下: 使用MitkPluginGenerator.exe 生成插件項目文件(

ios筆記屬性

let less sin alpha rec 再次 fontsize adjust 旋轉 1.設置UIButton的按鈕內容 //設置自定義的按鈕 //UIButton *button1=[UIButton buttonWithType:UIButtonTypeCust

OpenCV入門筆記 圖片的文操作

strong asc nump str destroy type convert 代碼 creat 以下介紹一下重要的幾個,設計基本 圖片處理 的函數,依次來了解OpenCV的入門知識。具體的具體使用方法還是以官方的API【Official Tutori

react學習筆記編寫第一個react組

pub 技術 spa class ima ade ext css pan 繼續上一節課的內容,打開App.js:會看到如下代碼: import React, { Component } from ‘react‘; //在此文件中引用React,以及reat的組件類

深藍school影象處理課筆記----影象的頻域增強

影象的頻域增強 變換域處理影象,影象在空域不好處理就轉換成頻域。內容包括: 傅立葉變換 頻域平滑濾波器 頻域銳化濾波器 頻域濾波器的應用 一 、 傅立葉變換 任何周期函式都可以由不同頻率的sin或cos函式求和得到!!! 1

Sail.js官方文閱讀筆記——api/controllers/ 目錄

Sails專案結構中api包包含了後端的主要邏輯。其中包含了多個主要目錄: 2.1 api/controllers/ 此目錄中的js檔案包含了與models的互動邏輯與向客戶端渲染檢視。 2.1.1 總述 Actions是Sails應用中用來處理web請求的主要物件。

java學習筆記之webservice--WSDL文及用myeclipse測試webservice

 >>接上篇 一、WSDL 定義:web services description language,用來描述web服務的xml格式的資訊。 標籤的解釋 1. <types>:定義了服務的namespace和關鍵資訊的型別(方法的引數型別和返回值的

演算法工程師修仙之路:python3官方文筆記

本筆記來自於python手冊的中文版 使用 Python 直譯器 呼叫 Python 直譯器 通常你可以在主視窗輸入一個檔案結束符(Unix系統是Control-D,Windows系統是Control-Z)讓直譯器以 0 狀態碼退出。如果那沒有作用,你可以通過輸入

預設文解析--手機web app開發筆記

首先我們啟動HBuilderX2.0 ,介面如圖2-1所示 圖2-1 軟體開發介面 單擊“檔案—新建—專案”,彈出新建專案管理介面,我們在裡面進行了專案型別選擇“5+APP”、專案名稱填寫“程式設計之路”、

php laravel框架學習筆記 數據庫操作

true 數據 mar sql show top 一行 ati del 原博客鏈接:http://www.cnblogs.com/bitch1319453/p/6810492.html mysql基本配置 你可用通過配置環境變量,使用cmd進入mysql,當然還有一種東

java學習筆記圖形用戶接口

star strong per getwidth cep runnable graphics s2d gb2 這個學期主要放在ACM比賽上去了,比賽結束了。不知不覺就15周了,這周就要java考試了,復習一下java吧。java的學習的目的還是讓我們學以致用,讓我們可以

數據結構學習筆記 線性表的順序存儲和鏈式存儲

出錯 初始化 node != test span 輸入 des val 線性表:由同類型數據元素構成有序序列的線性結構  --》表中元素的個數稱為線性表的長度  --》沒有元素時,成為空表  --》表起始位置稱表頭,表結束位置稱表尾 順序存儲:    1 package

Logstash筆記

logstash(一)含義: logstash是一種分布式日誌收集框架,開發語言是JRuby,當然是為了與Java平臺對接,不過與Ruby語法兼容良好,非常簡潔強大,經常與ElasticSearch,Kibana配置,組成著名的ELK技術棧,非常適合用來做日誌數據的分析。 當然它可以單獨出

jQuery隨堂筆記

rand htm t對象 ray 日期和時間 日期 數學 second ntb location的屬性: host: 返回當前主機名和端口號定時函數: setTimeout( ) setInterval() 二、document對象 getElementById();

《HTTP權威指南》--閱讀筆記

cep ask 資源 phrase 格式 tel 位置 自動擴展 port URL的三部分: 1,方案 scheme 2,服務器位置 3,資源路徑 URL語法: <scheme>://<user>:<password>@&

Android中apk動態載入技術研究2android化及實現

name creat package path iss fontsize 調用 dex con 了解了android中類載入的前期知識點後,來看看android中DexClassLoader詳細的實現 詳細載入流程例如以下: 宿主程序會到文件系統比