若是搭建elk,建议先安装好elasticsearch

来自官网,版本为2.3

wget -c https://download.elastic.co/logstash/logstash/packages/centos/logstash-2.3.4-1.noarch.rpm

rpm -ivh logstash-2.3.4-1.noarch.rpm

logstash的配置文件为/etc/sysconfig/logstash,本文不需要修改它,默认即可

日志位于/var/log/logstash/

为防止重复解析,logstash会记录文件的解析进度到/var/lib/logstash/.sincedb_xxxxxxx,如果希望重复解析(比如测试的时候)记得删除这里的缓存

解析日志相关的配置文件放到/etc/logstash/conf.d/,默认文件夹是空的,这个是需要自己写的,下面先来一个简单的:

mkdir -p /data/logs/

touch /data/logs/test.log

vi /etc/logstash/conf.d/first.conf(意思是解析test.log内容,输出到标准输出,这里会重定向输出到/var/log/logstash/logstash.stdout)

input {

    file {

        path => "/data/logs/test.log"

    }

}

output {

    stdout {}

}

启动logstash

/etc/init.d/logstash start

在test.log中追加信息,然后查看输出

echo 'hello world 1' >> /data/logs/test.log

echo 'hello world 2' >> /data/logs/test.log

tail /var/log/logstash/logstash.stdout

可以看到追加的信息被logstash以一定格式输出到了stdout

下面来个复杂的日志文件,下载官方的测试log:https://download.elastic.co/demos/logstash/gettingstarted/logstash-tutorial.log.gz

然后解压到/data/logs/logstash/logstash-tutorial.log

新加一个日志解析配置:

vi /etc/logstash/conf.d/second.conf

input {

    file {

        path => "/data/logs/logstash/*.log"

        start_position => beginning

        ignore_older => 0

    }

}

output {

    stdout {}

}

可以看到指定文件那里可以用匹配模式指定

start_position:默认是从文件末尾开始解析(监控)

ignore_older:默认超过24小时的日志不解析,0表示不忽略任何过期日志

重启logstash,可以看到logstash-tutorial.log的解析结果会输出到stdout

输出到stdout并没有用,我们现在把结果存储到elasticsearch:

output {

    elasticsearch {}

    stdout {}

}
若elasticsearch不是在本机
elasticsearch {
    hosts => "192.168.1.111"
}
若elasticsearch不是默认端口9200
elasticsearch {
    hosts => "192.168.1.111:9292"
}

先停止logstash,清空解析缓存,再启动

/etc/init.d/logstash stop

rm -rf /var/lib/logstash/*

/etc/init.d/logstash start

在elasticsearch中查询可以看到多了一个索引logstash-2016.11.25,数据已经存储在里面

(而且是解析过的,ip、url、时间等,解析是用的过滤器filter,这里没有配置单应该用的是默认filter:grok)

基础用法至此结束

logstash安装与基础用法的更多相关文章

  1. Docker 安装和基础用法

    理解Docker(1):Docker 安装和基础用法 本系列文章将介绍Docker的有关知识: (1)Docker 安装及基本用法 (2)Docker 镜像 (3)Docker 容器的隔离性 - 使用 ...

  2. elasticsearch安装与基础用法

    来自官网,版本为2.3 注意elasticsearch依赖jdk,2.3依赖jdk7 下载rpm包并安装 wget -c https://download.elastic.co/elasticsear ...

  3. 理解Docker(1):Docker 安装和基础用法

    本系列文章将介绍Docker的有关知识: (1)Docker 安装及基本用法 (2)Docker 镜像 (3)Docker 容器的隔离性 - 使用 Linux namespace 隔离容器的运行环境 ...

  4. logstash安装及基础入门

    Logstash是一款开源的数据收集引擎,具备实时管道处理能力.简单来说,logstash作为数据源与数据存储分析工具之间的桥梁,结合 ElasticSearch以及Kibana,能够极大方便数据的处 ...

  5. filebeat安装与基础用法

    来自官网,版本为1.2 下载rpm包并安装 wget -c https://download.elastic.co/beats/filebeat/filebeat-1.2.3-x86_64.rpm r ...

  6. kibana安装与基础用法

    来自官网,版本为4.5 下载rpm包并安装 wget -c https://download.elastic.co/kibana/kibana/kibana-4.5.4-1.x86_64.rpm rp ...

  7. git安装及基础用法

    1.安装GitGit-2.9.3-64-bit.exe 2.打开Git Bash,设置用户名,Email $ git config --global user.name "Your Name ...

  8. 前端自动化测试神器-Katalon的基础用法

    前言 最近由于在工作中需要通过Web端的功能进行一次大批量的操作,数据量大概在5000左右,如果手动处理, 完成一条数据的操作用时在20秒左右的话,大概需要4-5个人/天的工作量(假设一天8小时的工作 ...

  9. mySQL的安装和基础使用及语法教程

    mySQL的安装和基础使用及语法指南 一.MySQL的安装.配置及卸载 1.安装 2.配置 3.mySQL5.1的完全卸载 4.MYSQL环境变量的配置 二.MySQL控制台doc窗口的操作命令 1. ...

随机推荐

  1. asp.net mvc Post上传文件大小限制

    最近发现在项目中使用jQuery.form插件上传比较大的文件时,上传不了,于是改了下web.config的上传文件最大限制. <configuration> <system.web ...

  2. Android错误:W/ResourceType(2411): No package identifier when getting value for resource number 0x

    报错信息: 07-04 11:14:43.064: W/ResourceType(2411): No package identifier when getting value for resourc ...

  3. Maven详解之聚合与继承

    说到聚合与继承我们都很熟悉,maven同样也具备这样的设计原则,下面我们来看一下Maven的pom如何进行聚合与继承的配置实现. 一.为什么要聚合? 随着技术的飞速发展和各类用户对软件的要求越来越高, ...

  4. love your life

    However mean your life is, meet it and live it ;do not shun it and call it hard names. It is not so ...

  5. ASCII码

    ASCII(pronunciation: /ˈæski/ ASS-kee,American Standard Code for Information Interchange,美国信息交换标准代码)是 ...

  6. IOS第一天

    第一天(hello world) 1>UIView所有的控件都继承UIView,倒位置,宽度和高度..UIButton UILable 2>UIViewController .h 是声明属 ...

  7. MyBatis操作指南-搭建项目基础环境(基于XML)含log4j配置

  8. uniq-删除重复

    uniq常用于管道中,用来删除已使用sort排序完成的重复记录. uniq有3个好用的选项: -c 可在每个输出行之前加上该行重复的次数: -d 仅显示重复的行 -u 仅显示未重复的行

  9. MySQL主键删除/添加

    2修改数据库和表的字符集alter database maildb default character set utf8;//修改数据库的字符集alter table mailtable defaul ...

  10. c#读取Word模板,利用书签替换内容包括表格

    //生成WORD程序对象和WORD文档对象 Microsoft.Office.Interop.Word.Application appWord = new Microsoft.Office.Inter ...