Logstash插件获取方式

插件获取地址:

https://github.com/logstash-plugins 

在线安装:

/plugin install  logstash-input-jdbc

升级插件:

/plugin update logstash-input-jdbc


卸载插件:

/plugin uninstall  logstash-input-jdbc

淘宝源地址: https://ruby.taobao.org

Logstash插件分类

  • inputs 输入
  • codecs 解码
  • filters 过滤
  • outputs 输出

Logstash_input插件

stdin标准输入

可用参数

参数               Input Type                Required        Default Value

add_field            hash                      No                 {}

codec                codec                     NO                 "line"

tags                 array                     NO

type                 string                    NO

file文件输入

可用参数

input {

    file {

        #file插件的参数

        codec=>...                        #可选项                codec,         默认是plain,可通过这个参数设置编码方式

        discover_interval=>...            #可选项                number,        logstash没隔多久去检查一次被监听的path下是否有新文件,默认值是15秒

        exclude=>...                      #可选项                array,         不想被监听的文件可以排除出去,这里跟path一样支持glob展开

        sincedb_path=>...                 #可选项                string,        如果你不想用默认的$HOME/.sincedb,可以通过这个配置定义sincedb文件到其他位置

        stat_interval...                  #可选项                number,        logstash没隔多久检查一次被监听文件状态(是否有更新),默认是1秒

        start_position...                 #可选项                string,        logstash从什么位置开始读取文件数据,默认是结束位置,也就是说logstash进程会以类似tial -f的形式运行.如果你是要导入一个完整的文件,把这个设定可以改成"beginning",logstash进程就会从文件开头读取,有点类似cat

        path=>...                         #必选项                array,         处理的文件的路径,可以定义多个路径

        tags=>...                         #可选项                array,         在数据处理的过程中,由具体的插件来添加或者删除的标记

        type=>...                         #可选项                string,        自定义将要处理事件类型,可以自己随便定义,比如处理的是linux的系统日志,可以定义为"syslog"

    }

}

实例1:过滤nginx的访问日志和错误日志

配置文件

[root@ELK-STACK logstash-1.5.5]# cat conf/test1.conf

input {

    file {

        path => ["/var/log/nginx/access.log"]

        type => "accesslog"

        start_position => "beginning"

        }

    file {

        path => ["/var/log/nginx/error.log"]

        type => "errorlog"

        start_position => "beginning"

        }

    }

output {

    stdout{}

    }

测试

[root@ELK-STACK logstash-1.5.5]# ./bin/logstash -f conf/test1.conf

Logstash startup completed

2017-02-23T08:00:25.757Z 0.0.0.0 2017/02/23 12:14:01 [error] 2145#0: *47 open() "/usr/share/nginx/html/zabbix" failed (2: No such file or directory), client: 172.16.2.64, server: _, request: "GET /zabbix HTTP/1.1", host: "172.16.1.225"

2017-02-23T08:00:25.757Z 0.0.0.0 172.16.2.64 - - [23/Feb/2017:12:14:01 +0800] "GET /zabbix HTTP/1.1" 404 3650 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" "-"

2017-02-23T08:01:09.785Z 0.0.0.0 172.16.2.64 - - [23/Feb/2017:16:01:09 +0800] "GET / HTTP/1.1" 200 3700 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12) AppleWebKit/602.1.50 (KHTML, like Gecko) Version/10.0 Safari/602.1.50" "-"

TCP/UDP输入

TCP

语法格式

input {

    tcp {

        #tcp插件的参数                           类型            默认值

        add_field=>...            #可选项        hash           {}

        codec=>...                #可选项                       plain

        data_timeout=>...        #可选项         Number         1

        host=>...                #可选项                        0.0.0.0

        mode=>...                #可选项                       值是["server","client"]其中之一,默认是server

        port=>...                #必填项         number        端口号,需要和另一端匹配

        ssl_cacert=>...            #可选项

        ssl_cert=>...            #可选项

        ssl_enable...            #可选项

        ssk_key=>...            #可选项

        ssl_key_passphrase=>...    #可选项

        ssl_verify...            #可选项

        tags=>...                #可选项         array

        type=>...                #可选项         string

    }

}

UDP

语法格式

input {

    udp {

        #可用参数  
                                                                 #默认值

        add_field=>...            #hash类型            #可选项      默认{}

        host=>...                #string类型           #可选项      默认0.0.0.0

        port=>...                #number类型           #必填项      端口号,需要和另一端匹配

        tags=>...                #array类型            #必填项

        type=>...                #string类型           #可选项

        workers=>...            #number类型            #默认2

    }

}

Logstash_codec插件

介绍: codec:编码,解码(json,msgpack,edn)

放置位置: input{}和output()字段里的任何插件里(比如说input里file插件里 input{file{codec=>json}})

codec插件之plain

介绍:plain是一个空的解析器,它可以让用户自己指定格式

codec之json

介绍

  • 如果输入到logstash的内容是json格式,可以在input字段加入codec=>json来进行解析
  • 如果想让logstash输出为json格式,可以在output字段加入codec=>json

语法格式: codec=> json

实例1:输出json化

配置文件

[root@ELK-STACK logstash-1.5.5]# cat conf/json.conf

input {

    stdin {

        }

    }

output {

    stdout {

        codec => json

        }

    }

测试

[root@ELK-STACK logstash-1.5.5]# ./bin/logstash -f conf/json.conf

Logstash startup completed             #等待logstash启动成功

hello.world                            #输入一个字符串的hello.world

{"message":"hello.world","@version":"1","@timestamp":"2017-02-24T09:01:11.425Z","host":"0.0.0.0"}  #可以看到输入是以json化的格式输出的

codec之json_lines

介绍: 如果你的json文件比较长,需要换行的话,那么久得用到json_lines了

codec之rubydebug

介绍: rubydebug将采用Ruby Awsome Print库来解析日志

实例1:通过rubydebug输出键值对

配置文件

 cat conf/rubydebug.conf

input {

    stdin {

        codec => json       #输入为json格式,所以用codec=>json来解析

        }

    }

output {

    stdout {

        codec =>rubydebug  #让输出的格式为rubydebug模式,就是把键值对输出

        }

    }

测试

[root@ELK-STACK logstash-1.5.5]# ./bin/logstash -f conf/rubydebug.conf

Logstash startup completed

{"bookname":"elk stack"}             #这是输入的键值对

{

      "bookname" => "elk stack",    #这是以rubydebug的模式输出键值对

      "@version" => "1",            #这是以rubydebug的模式输出键值对

    "@timestamp" => "2017-02-24T09:29:50.777Z",

          "host" => "0.0.0.0"

}

{"bookname":"elk stack","price":29}           #这是输入的键值对

{

      "bookname" => "elk stack",               #这是以rubydebug的模式输出键值对

         "price" => 29,                        #这是以rubydebug的模式输出键值对

      "@version" => "1",

    "@timestamp" => "2017-02-24T09:31:08.224Z",

          "host" => "0.0.0.0"

}

codec之multiline

介绍: 有些时候,应用程序调试日志会包含非常丰富的内容,为一个事件打印出很多行内容。这种日志通常都很难通过命令行解析的方式做分析;而 logstash 正为此准备好了 codec/multiline 插件

语法格式

input {

    stdin {

        codec =>multiline {

            charset=>...          #可选                      字符编码

            max_bytes=>...        #可选     bytes类型            设置最大的字节数

            max_lines=>...        #可选     number类型           设置最大的行数,默认是500行

            multiline_tag...      #可选     string类型           设置一个事件标签,默认是multiline

            pattern=>...          #必选     string类型           设置匹配的正则表达式

            patterns_dir=>...     #可选     array类型           可以设置多个正则表达式

            negate=>...           #可选     boolean类型         设置true是向前匹配,设置false向后匹配,默认是FALSE

            what=>...             #必选                        设置未匹配的内容是向前合并还是先后合并,previous,next两个值选择

        }

    }

}

Logstash_filter插件

json filter

介绍:如果数据格式是json,那么可以通过它把数据解析成你想要的数据结构

语法格式

filter {

    json {

        add_field=>...            #可选项         #hash          添加属性,默认{}

        add_tag=>...              #可选项         #array          添加标识,默认{}

        remove_field=>...         #可选项         #array         删除属性,默认{}

        remove_tag=>...            #可选项         #array         删除标识,默认{}

        source=>...                #必选项         #string       指定来源数据

        target=>...                #可选项         #string        定义将要解析的目标字段

    }

}

实例1:解析json数据

配置文件

vim conf/filter_json.conf

 input {

     stdin {

         }

     }

 filter {

     json {

         source => "message"

         target => "content"

         }

     }

 output {

         stdout {

             codec=>rubydebug

             }

     }

测试

[root@ELK-STACK logstash-1.5.5]# ./bin/logstash -f conf/filter_json.conf

Logstash startup completed

{"name":"zhai","age":12}       #输入被解析的值

{

       "message" => "{\"name\":\"zhai\",\"age\":12}",

      "@version" => "1",

    "@timestamp" => "2017-02-27T08:31:13.193Z",

          "host" => "0.0.0.0",

       "content" => {

        "name" => "zhai",   #这里就是json字段里的name

         "age" => 12        #这里就是json字段里的age

    }

}

grok filter

介绍

  • grok是目前logstash里最好的一种解析各种非结构化的日志数据的工具
  • grok可以过滤日志中你想要的字段
  • 官方patterns地址:https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns
  • 测试grok匹配规则的网址:grokdebug.herokuapp.com

可用参数

filter {

    grok {

        match=>...        #可选项        写匹配规则

    }

}

kv filter

介绍: 通过指定一个分隔符,截取key,value

Logstash_output插件

介绍: logstash output就是如何让数据经过logstash的解析和处理后,把结果输出

输出到file

可用参数

path => "/root/access_result"                 #结果输出到文件里

path => "/root/%{+YYYY.MM.dd}-%{host}-access" #结果输出到文件里,以时间命名文件

message_format => "%{ip}"                      #只输出filter过滤出来的指定字段

输出到elasticsearch

  • elasticsearch就是数据库
  • 把logstash解析过滤的结果输出到elasticsearch里

实例1:输出到elasticsearch

output {

    elasticsearch {

        host => "172.16.1.225"             #elasticsearch的地址,或者cluster=>"ClusterName"

        protocol =>"http"

        index=>"test_output-%{type}-%{+YYYY.MM.dd}"    #在elasticsearch里创建索引,索引名称设置,type就是document_type的值,test_output-nginx-2017-02-28

        document_type=>"nginx"

        worker=>5

    }

}

Logstash学习系列之插件介绍的更多相关文章

  1. Logstash学习系列之基础介绍

    Logstash功能特性 能集中处理各种类型的数据 能标准化不同模式和格式的数据 能快速的扩展自定义日志的格式 它具有收集,分析和转发数据流的功能 Logstash运行参数 -f 指定配置文件 -e ...

  2. MongoDB学习系列(1)--入门介绍

    MongoDB是一款为Web应用程序设计的面向文档结构的数据库系统. MongoDB贡献者是10gen公司.地址:http://www.10gen.com 1.MongoDB主要特性: 1.1文档数据 ...

  3. mybatis学习系列五--插件及类型处理器

    2 插件编写(80-81) 单个插件编写 2.1实现interceptor接口(ibatis) invocation.proceed()方法执行必须要有,否则不会无法实现拦截作用 2.2 使用@int ...

  4. SpringCloud学习系列<一>版本介绍

    SpringCloud学习踩坑记<一> SpringCloud版本迭代实在太快,学习起来也是各种坑,博主用的是"当前"的最新版本,借鉴周立老大的Spring Cloud ...

  5. watir学习系列--Watir API介绍

    文本框:          <INPUT id="email" name="_fmu.u._0.e" value="" />   ...

  6. ThreeJS系列1_CinematicCameraJS插件详解

    ThreeJS系列1_CinematicCameraJS插件详解 接着上篇 ThreeJS系列1_CinematicCameraJS插件介绍 看属性的来龙去脉 看方法作用 通过调整属性查看效果 总结 ...

  7. .net reactor 学习系列(一)---.net reactor介绍

    原文:.net reactor 学习系列(一)---.net reactor介绍       学习.net已经一年多了,从语言的编写到框架类库的运用再到.net三大解决方案的了解(WF,WCF,WPF ...

  8. 01LaTeX学习系列之---TeX的介绍与认识

    目录 01TeX的介绍与认识 目录 前言 (一)TeX 的宣传 TeX - Beauty and Fun 1. TeX 是什么? 2. TeX 是哪家公司生产的? 3. 我们今天主角的名字怎么念啊?& ...

  9. CAN总线学习系列之— CAN总线特点介绍

    CAN总线学习系列之— CAN总线特点介绍 CAN 总线作为一种工业界的流行总线广泛应于工业自动化.多种控制设备.交通工具.医疗仪器以及建筑.环境控制等各个行业中,它是是一种多主机局域网,所以这样 一 ...

随机推荐

  1. linux 安装 mongo 3.4

    要求:linux 安装 mongo 3.4 大体上,按照官网提供的方法来做. 系统是ubuntu 16.04 安装的是mongo3.4.8 社区版 1.         导入导入包管理系统使用的公钥 ...

  2. swift -Dynamic Dispatch

    These instructions perform dynamic lookup of class and generic methods. The class_method and super_m ...

  3. 2D热力图实例

    <div style="height: 100px; width: 200px" id="heatmap"></div> <scr ...

  4. 2018湖南省第14届大学生计算机程序设计竞赛 D: 卖萌表情

    Description 已知以下 4 种都是卖萌表情(空白的部分可以是任意字符.竖线是便于展示的分隔符,没有实际意义): ^ ^ | ^ | < | > v | v v | > | ...

  5. Linux网络配置出现的问题

    网络连接 : 选择桥接模式进入字符界面后,管理员登入后  ifconfig显示eth0和ol,但是不显示静态IP地址,即无inet.地址.广播.掩码 解决方案: 1.使用sudo dhclient e ...

  6. 转:Centos7安装zabbix3.4超详细步骤解析

    安装前准备: 1.1 安装依赖包: yum -y install wget net-snmp-devel OpenIPMI-devel httpd openssl-devel java lrzsz f ...

  7. Oracle创建 表空间 用户 给用户授权命令

    //创建表空间 create tablespace ACHARTSdatafile 'D:\oradata\orcl\ACHARTS01.DBF' size 800mautoextend on nex ...

  8. NormalMap 法线贴图

    法线贴图+纹理贴图(细节明显) 纹理贴图 法线贴图 法线贴图 存储法线的一张贴图,归一化的法线的 xyz 的值被映射成为对应的 RGB 值.归一化的法线值为[-1,1],RGB的每一个分量为无符号的8 ...

  9. 如何把DEBIAN变成UBUNTU-DESKTOP最少化安装

    Ubuntu 18.04没有32位,老电脑要装32位下面方法可以实现 Debian 9.6变成Ubuntu-Desktop 最少化 1 安装Debian 9.6时用expert mode 安装,安装过 ...

  10. CodeForces - 425E Sereja and Sets 题解

    题目大意: 我们有一个集合 S,其中包含了 m 个不完全相同的区间[l1,r1],[l2,r2]…[lm,rm] (1≤li≤ri≤n,li,ri 都为整数). 定义 f(S)=k,表示集合 S 中能 ...