大家好,我是蓝胖子,之前在构建服务监控实践那个系列里,有提到用logstash来做日志的收集,但是对于logstash的配置文件语法没有做很详细的介绍,今天就来详细聊聊logstash配置文件的语法。

很多时候一门新框架的配置都会有自己独有的配置文件格式,是先简单了解配置文件语法结构,能够让自己更加系统的掌控新框架的各项配置。

文件结构

先来看看logstash的配置文件结构,配置文件分为3部分,input输入,filter过滤,output输出。配置文件是以{} 来定义区段的。如下,

input { }

filter { }

output { }

顾名思义,它们分别表示logstash的输入来源,输入来源可以是文件,filebeat等等。filter则是定义对输入源内容进行二次处理,过滤提取等等。outpout则是将处理后的内容重新输出到其他组件,比如elasticsearch或者通过http接口输出到自定义服务中。

插件

在每一个区段内,可以引入logstash的插件,插件的配置同样也是用{}包裹起来的。如下,我在input区域内部定义了stdin和syslog插件。

input { stdin {} syslog {} }

不过通常在filebeat和logstash搭配使用时,通常是将logstash的输入来源定义为filebeat的插件,如下

input {

  beats {

    port => 5044

  }

}

而filebeat的配置文件中,则是将输出源设置为logstash,如下是filebeat的部分配置文件示例,

output.logstash:

  hosts:  192.168.0.2:5054

不同的插件具体有哪些配置,有哪些插件可以使用,参考官方文档 https://www.elastic.co/guide/en/logstash/current/plugins-inputs-beats.html

语法规则

介绍了配置文件的结构后,我们来看看配置文件的语法规则。

声明赋值变量

在配置文件中,赋值一个变量使用的是=>符号,像前面提到把输入源定义为filebeat时,就将port变量赋值为5044了。

    port => 5044

除了数值类型,logstash还会有字符串,布尔,数组,hash类型,它们写法如下,

字符串类型

host =>"hostname"

布尔类型

debug => true

数组类型

match => ["datetime", "UNIX", "ISO8601"]

hash类型

options => { key1 =>"value1", key2 =>"value2" }

引用变量

声明赋值完变量后,如何引用呢,在logstash中是通过[]对变量进行引用,如下,我声明了一个变量debug, 然后引用它。

filter {

	debug => true

}

output {

	if [debug]==true {

		...

	}

}

如果是那种结构体类型,比如json,或者hash结构,那么可以使用多重[]得到其值,如下,

output {

	options => { key1 =>"value1", key2 =>"value2" }

	if [options][key1]=="2" {

		...

	}

}

内插变量

logstash还支持内插变量,如下,我在使用elasticsearch插件时,需要定义输出的索引名称,这个名称是根据日志来源中不同的内容建立不同的索引名称。[fields][log_type]引用的则是出入来源中的变量名。

output {

   elasticsearch {

    hosts => ["http://elasticsearch:9200"]

    index => "easymonitor-%{[fields][log_type]}-%{+yyyy.MM.dd}"

  }

}

条件判断

其实在介绍变量引用的时候,你应该已经看到if语句,除此以外if else语句也是支持的。如下所示,

if "_grokparsefailure" not in [tags] {

	...

} else if [status] !~ /^2\d\d/ and [url] == "/noc.gif" {

	...

} else {

	...

}

logstash支持的判断表达式包括

比较大小: ==, !=, <, >, <=, >= ·

正则: =~, !~

包含关系: in, not in

布尔表达式: and, or, nand, xor

对表达式取反操作: !(表达式)

注意logstash是不支持&& 和 || 表示并且和或关系的,应该用and 和or代替。

条件表达式定义多个输出源

使用条件表达式,在条件表达式中定义不同的输出插件,达到根据不同内容输出到不同组件的目的,以下是配置案例,通过判断日志的等级,等级为error或者日志类型是es的日志时,则输出到报警服务中。

output {

   elasticsearch {

    hosts => ["http://elasticsearch:9200"]

    index => "easymonitor-%{[fields][log_type]}-%{+yyyy.MM.dd}"

  }

  if [loglevel] == "Error" or  [fields][log_sub_type]=="es"  {

    http {

           http_method => "post"

           url => "http://192.168.0.2:36060/alert_log"

        }

  }

}

总结

logstash的配置文件语法还算是很简单的,灵活的使用条件表达式可以定义多个输出源,想要掌握logstash更多的配置还是要去官网掌握一些插件的用法,不过在看懂语法的基础上,学习插件的用法就是水到渠成的事情了。

logstash 配置文件语法介绍的更多相关文章

  1. logstash 配置文件语法

    需要一个配置文件 管理输入.过滤器和输出相关的配置.配置文件内容格式如下: # 输入 input { ... } # 过滤器 filter { ... } # 输出 output { ... } 先来 ...

  2. Logstash配置文件介绍

    Logstash配置文件介绍 Logstash配置文件有两种,分别是pipeline配置文件和setting配置文件. Pipeline配置文件主要定义logstash使用的插件以及每个插件的设置,定 ...

  3. logstash配置文件

    1. 安装  logstash 安装过程很简单,直接参照官方文档: https://www.elastic.co/guide/en/logstash/current/installing-logsta ...

  4. Logstash配置文件详情

    logstash 配置文件编写详解 说明 它一个有jruby语言编写的运行在java虚拟机上的具有收集分析转发数据流功能的工具能集中处理各种类型的数据能标准化不通模式和格式的数据能快速的扩展自定义日志 ...

  5. Swift翻译之-Swift语法入门 Swift语法介绍

    目录[-] Hello world - Swift 简单赋值 控制流 函数与闭包 对象和类 枚举与结构 协议和扩展 泛型 2014.6.3日,苹果公布最新编程语言Swift,Swift是一种新的编程语 ...

  6. flex弹性布局语法介绍及使用

    一.语法介绍 Flex布局(弹性布局) ,一种新的布局解决方案 可简单.快速的实现网页布局 目前市面浏览器已全部支持1.指定容器为flex布局 display: flex; Webkit内核的浏览器, ...

  7. freemarker语法介绍及其入门教程实例

    # freemarker语法介绍及其入门教程实例 # ## FreeMarker标签使用 #####一.FreeMarker模板文件主要有4个部分组成</br>####  1.文本,直接输 ...

  8. QSS类的用法及基本语法介绍

    QSS类的用法及基本语法介绍 目录 1. 何为Qt样式表2. 样式表语法基础3. 方箱模型4. 前景与背景5. 创建可缩放样式6. 控制大小7. 处理伪状态8. 使用子部件定义微观样式8.1. 相对定 ...

  9. MD基本语法介绍

    Markdown基本语法介绍 前言 文本编辑器一般用的有富文本编辑器(也就是Word)和md了,但是wold太过于花里胡哨很多功能都用不上,所以就选择md了,简单实用,一对于我来说一般就用标题和列表就 ...

  10. ELK 学习笔记之 Logstash基本语法

    Logstash基本语法: 处理输入的input 处理过滤的filter 处理输出的output 区域 数据类型 条件判断 字段引用 区域: Logstash中,是用{}来定义区域 区域内,可以定义插 ...

随机推荐

  1. CentOS7更新OpenSSH

    前言 整个过程不要断开ssh链接,如有必要可使用telnet远程操作. 系统版本:centos 7.9 OpenSSL版本:1.0.2k -> 1.1.1q OpenSSH版本:7.4p1 -& ...

  2. Hugging Face 的文本生成和大语言模型的开源生态

    [更新于 2023 年 7 月 23 日: 添加 Llama 2.] 文本生成和对话技术已经出现多年了.早期的挑战在于通过设置参数和分辨偏差,同时控制好文本忠实性和多样性.更忠实的输出一般更缺少创造性 ...

  3. Docker下elasticsearch8部署、扩容、基本操作实战(含kibana)

    欢迎访问我的GitHub 这里分类和汇总了欣宸的全部原创(含配套源码):https://github.com/zq2599/blog_demos 本篇概览 本篇记录了用docker搭建ElasticS ...

  4. python如何提取浏览器中保存的网站登录用户名密码

    python如何提取Chrome中的保存的网站登录用户名密码? 很多浏览器都贴心地提供了保存用户密码功能,用户一旦开启,就不需要每次都输入用户名.密码,非常方便.作为python脚本,能否拿到用户提前 ...

  5. 2.10 PE结构:重建重定位表结构

    Relocation(重定位)是一种将程序中的一些地址修正为运行时可用的实际地址的机制.在程序编译过程中,由于程序中使用了各种全局变量和函数,这些变量和函数的地址还没有确定,因此它们的地址只能暂时使用 ...

  6. Solution -「洛谷 P1852」跳跳棋

    Description Link. 在一个数轴上给你三个点,移动方法是彼此为中点进行跳跃,不能同时越过两颗棋子. 给出初始状态和目标状态,问能否从初始状态跳到目标状态.若能,输出最少步数. 棋子之间互 ...

  7. Quantitative Relationship Induction

    数量关系是指事物之间的数值或数量之间的相互关系(+.-.*./). 数量关系描述各种量的变化和相互关系.数量关系可以包括数值的比较.增减.比例.百分比.平均值等方面. 在数学中,数量关系可以通过代数方 ...

  8. Go 多版本管理工具

    Go 多版本管理工具 目录 Go 多版本管理工具 一.go get 命令 1.1 使用方法: 二.Goenv 三.GVM (Go Version Manager) 四.voidint/g 4.1 安装 ...

  9. Hall定理(霍尔定理)证明及推广

    引言 网络上有许多Hall定理的证明,但是对于Hall定理的几个推广的介绍却少之又少,因此本文来简单介绍一下 注:为了使这篇文章看起来简单易懂,本文将不会使用图论语言,会图论的朋友们可以自行翻译为图论 ...

  10. ArcMap属性表出现乱码情况的解决

      本文介绍ArcMap软件打开图层的属性表后,出现字段中汉字乱码情况的解决方法.   有时在使用ArcMap软件时,会发现一些图层的属性表中,原本应该是中文的字段却出现乱码的情况:如下图所示,其中N ...