1.Logstash收集单个日志到文件中

file模块收集日志

不难理解,我们的日志通常都是在日志文件中存储的,所以,当我们在使用INPUT插件时,收集日志,需要使用file模块,从文件中读取日志的内容,那么接下来讲解的是,将日志内容输出到另一个文件中,如此一来,我们可以将日志文件同意目录,方便查找。

注意:Logstash与其他服务不同,收集日志的配置文件需要我们根据实际情况自己去写。
前提:需要Logstash对被收集的日志文件有读的,并且对要写入的文件,有写入的权限。

#进入Logstash配置文件目录下

[root@elkstack03 ~]# cd /etc/logstash/conf.d/

#编辑Logstash收集日志的配置文件

[root@elkstack03 conf.d]# vim message.conf

#输入插件

input {

#文件模块

  file {

#日志类型

    type => "message-log"

#日志路径

    path => "/var/log/messages"

#第一次收集日志从头开始

    start_position => "beginning"

  }

}

#输出插件

output {

#文件模块

  file {

#输出路径

    path => "/tmp/message_%{+yyyy.MM.dd}.log"

  }

}

#检测语法

[root@elkstack03 conf.d]# /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/message.conf -t

Configuration OK

结果如下图所示:

#如果语法没有错,那就可以启动Logstash了,去掉-t,加上&即可

[root@elkstack03 ~]# /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/message.conf &

启动成功结果如下:

验证收集数据 
#查看tmp目录下是否生成日志文件

[root@elkstack03 ~]# ll /tmp/

总用量 1

-rw-r--r-- 1 root  root   291 3月  30 22:05 message_2019.03.30.log

#查看日志内容(日志中就一条)

[root@elkstack03 ~]# cat /tmp/message_2019.03.30.log

{"path":"/var/log/messages","@timestamp":"2019-03-30T14:05:35.103Z","@version":"1","host":"0.0.0.0","message":"Mar 26 21:23:02 elkstack03 rsyslogd: [origin software=\"rsyslogd\" swVersion=\"5.8.10\" x-pid=\"1073\" x-info=\"http://www.rsyslog.com\"] rsyslogd was HUPed","type":"message-log"}

#往系统日志中写入数据

[root@elkstack03 ~]# echo zls_test_message >> /var/log/messages

#再次查看收集到的日志内容(变成了两条)

[root@elkstack03 ~]# cat /tmp/message_2019.03.30.log

{"path":"/var/log/messages","@timestamp":"2019-03-30T14:05:35.103Z","@version":"1","host":"0.0.0.0","message":"Mar 26 21:23:02 elkstack03 rsyslogd: [origin software=\"rsyslogd\" swVersion=\"5.8.10\" x-pid=\"1073\" x-info=\"http://www.rsyslog.com\"] rsyslogd was HUPed","type":"message-log"}

{"path":"/var/log/messages","@timestamp":"2019-03-30T14:07:37.071Z","@version":"1","host":"0.0.0.0","message":"zls_test_message","type":"message-log"}

开启两个窗口实时查看:

#右边窗口实时查看日志

[root@elkstack03 ~]# tail -f /tmp/message_2019.03.30.log

#左边窗口往系统日志中插入数据

[root@elkstack03 ~]# echo 1 >> /var/log/messages

[root@elkstack03 ~]# echo 2 >> /var/log/messages

[root@elkstack03 ~]# echo 3 >> /var/log/messages

结果如下图所示:

2.Logstash收集多个日志到文件中

#进入Logstash配置文件目录

[root@elkstack03 ~]# cd /etc/logstash/conf.d/

#编辑配置文件

[root@elkstack03 conf.d]# vim system_log.conf

#输入插件

input {

#文件模块

  file {

#日志路径

    path => "/var/log/messages"

#日志类型

    type => "system_log"

#第一次收集从头收集

    start_position => "beginning"

#收集日志间隔时间3秒

    stat_interval => "3"

  }

#文件模块

  file {

#日志路径

    path => "/var/log/secure"

#日志类型

    type => "secure_log"

#第一次收集从头收集

    start_position => "beginning"

#收集日志间隔时间3秒

    stat_interval => "3"

  }

}

#输出插件

output {

#判断如果类型是system_log则输出到指定路径

  if [type] == "system_log" {

#文件模块

    file {

#日志输出路径

      path => "/tmp/message2_%{+yyyy.MM.dd}.log"

    }}

#判断如果类型是secure_log则输出到指定路径

  if [type] == "secure_log" {

#文件模块

    file {

#日志输出路径

      path => "/tmp/secure_%{+yyyy.MM.dd}.log"

    }}

}

#启动Logstash

[root@elkstack03 conf.d]# /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/system_log.conf &
验证收集数据 
#查看tmp目录是否有新文件

[root@elkstack03 ~]# ll /tmp/

总用量 12

-rw-r--r-- 1 root  root   291 3月  30 22:05 message_2019.03.30.log

-rw-r--r-- 1 root  root   294 3月  30 23:00 message2_2019.03.30.log

-rw-r--r-- 1 root  root   286 3月  30 23:00 secure_2019.03.30.log

#查看新收集的message日志

[root@elkstack03 ~]# cat /tmp/message2_2019.03.30.log

{"path":"/var/log/messages","@timestamp":"2019-03-30T15:00:05.454Z","@version":"1","host":"0.0.0.0","message":"test_message","type":"message_log"}

#查看新收集的secure日志

[root@elkstack03 ~]# cat /tmp/secure_2019.03.30.log

{"path":"/var/log/secure","@timestamp":"2019-03-30T15:00:24.216Z","@version":"1","host":"0.0.0.0","message":"test_secure","type":"secure_log"}

开启多个窗口实时查看数据:

#中间窗口实时追踪message日志

[root@elkstack03 ~]# tail -f /tmp/message2_2019.03.30.log

#右边窗口实时追踪secure日志

[root@elkstack03 ~]# tail -f /tmp/secure_2019.03.30.log

#往message日志中插入数据

[root@elkstack03 ~]# echo 1 >> /var/log/messages

[root@elkstack03 ~]# echo 2 >> /var/log/messages

[root@elkstack03 ~]# echo 3 >> /var/log/messages

#往secure日志中插入数据

[root@elkstack03 ~]# echo 1 >> /var/log/secure

[root@elkstack03 ~]# echo 2 >> /var/log/secure

[root@elkstack03 ~]# echo 3 >> /var/log/secure

3.Logstash收集多个日志到Elasticsearch中

之前讲到Logstash收集多个日志到文件中,实际上,我们将输出源从文件改到Elasticsearch中即可。

#进入Logstash配置文件目录

[root@elkstack03 ~]# cd /etc/logstash/conf.d/

#编辑配置文件

[root@elkstack03 conf.d]# vim system_es.conf

#输入插件

input {

#文件模块

  file {

#日志路径

    path => "/var/log/messages"

#日志类型

    type => "message_log"

#第一次收集从头收集

    start_position => "beginning"

#收集日志间隔时间3秒

    stat_interval => "3"

  }

#文件模块

  file {

#日志路径

    path => "/var/log/secure"

#日志类型

    type => "secure_log"

#第一次收集从头收集

    start_position => "beginning"

#收集日志间隔时间3秒

    stat_interval => "3"

  }

}

#输出插件

output {

#判断如果类型是system_log则输出到指定路径

  if [type] == "message_log" {

#elasticsearch模块

    elasticsearch {

#es的ip及端口

      hosts => ["10.0.0.51:9200"]

#es的索引名称,也就是日志名称

      index => "message_log_%{+YYYY.MM.dd}"

    }}

#判断如果类型是secure_log则输出到指定路径

  if [type] == "secure_log" {

#es模块

    elasticsearch {

#es的ip及端口

      hosts => ["10.0.0.51:9200"]

#es的索引名称,也就是日志名称

      index => "secure_log_%{+YYYY.MM.dd}"

    }}

}

#启动Logstash

[root@elkstack03 ~]# /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/system_es.conf &

启动成功,结果如下:

打开浏览器,访问:http://10.0.0.51:9100 查看是否有新索引添加

如果没有查看到新数据,那么可以往日志文件中插入几条测试数据,再刷新页面即可。

[root@elkstack03 ~]# echo test_message_to_es >> /var/log/messages

[root@elkstack03 ~]# echo test_secure_to_es >> /var/log/secure

在数据浏览中,我们可以查看到message_log_2019.03.30日志的内容,在message中显示刚才插入的数据:test_message_to_es

在数据浏览中,我们可以查看到secure_log_2019.03.30日志的内容,在message中显示刚才插入的数据:test_secure_to_es

第五章·Logstash深入-日志收集的更多相关文章

  1. ELK(Elasticsearch + Logstash + Kibana) 日志收集

    单体应用或微服务的场景下,每个服务部署在不同的服务器上,需要对日志进行集重收集,然后统一查看所以日志. ELK日志收集流程: 1.微服务器上部署Logstash,对日志文件进行数据采集,将采集到的数据 ...

  2. logstash开源日志收集查询分析系统

    http://storysky.blog.51cto.com/628458/1158707/ http://www.logstash.net/ http://blog.sina.com.cn/s/bl ...

  3. 本地搭建ELK(elasticsearch, logstash, kibana)日志收集系统

    环境准备:macos 预先安装brew包管理器 1.安装elasticsearch流程 那么,咱们先去安装java8 接着,咱们继续按照elasticsearch 接着,咱们启动elasticsear ...

  4. 《码出高效 Java开发手册》第五章 异常与日志

    码云: https://gitee.com/forxiaoming/JavaBaseCode/blob/master/EasyCoding/src/exception/index.md 5.2 try ...

  5. 用ElasticSearch,LogStash,Kibana搭建实时日志收集系统

    用ElasticSearch,LogStash,Kibana搭建实时日志收集系统 介绍 这套系统,logstash负责收集处理日志文件内容存储到elasticsearch搜索引擎数据库中.kibana ...

  6. Elasticsearch + Logstash + Kibana +Redis +Filebeat 单机版日志收集环境搭建

    1.前置工作 1.虚拟机环境简介 Linux版本:Linux localhost.localdomain 3.10.0-862.el7.x86_64 #1 SMP Fri Apr 20 16:44:2 ...

  7. SpringBoot使用ELK日志收集

    本文介绍SpringBoot应用配合ELK进行日志收集. 1.有关ELK 1.1 简介 在之前写过一篇文章介绍ELK日志收集方案,感兴趣的可以去看一看,点击这里-----> <ELK日志分 ...

  8. ELK之方便的日志收集、搜索、展示工具

    大家在做分部署系统开发的时候是不是经常因为查找日志而头疼,因为各服务器各应用都有自己日志,但比较分散,查找起来也比较麻烦,今天就给大家推荐一整套方便的工具ELK,ELK是Elastic公司开发的一整套 ...

  9. syslog+rsyslog+logstash+elasticsearch+kibana搭建日志收集

    最近rancher平台上docker日志收集捣腾挺久的,尤其在配置上,特写下记录 Unix/Linux系统中的大部分日志都是通过一种叫做syslog的机制产生和维护的.syslog是一种标准的协议,分 ...

随机推荐

  1. [Distributed ML] Yi WANG's talk

    王益,分布式机器学习的践行者,他的足迹值得后来者学习. 膜拜策略: LinkedIn高级分析师王益:大数据时代的理想主义和现实主义(图灵访谈)[心路历程] 分布式机器学习的故事-王益[历史由来] 分布 ...

  2. mysql安装报错error: Header V3 DSA signature: BAD, key ID

    CentOS安装rpm安装MySQL时爆出警告: warning: mysql-community-server-5.7.18-1.el6.x86_64.rpm: Header V3 DSA/SHA1 ...

  3. 【HANA系列】SAP HANA SQL IFNULL和NULLIF用法与区别

    公众号:SAP Technical 本文作者:matinal 原文出处:http://www.cnblogs.com/SAPmatinal/ 原文链接:[HANA系列]SAP HANA SQL IFN ...

  4. linux 自定义函数

    用别人的车子出行,总感觉别扭,那怎么自定义自己的车轮子呢? 通过上面的求两个参数的和例子,我们可以学到定义一个函数基本的步骤, function getSum(){  SUM=$[$n1+$n2]  ...

  5. 安装keystone

    在控制节点上执行 controllerHost='controller' MYSQL_PASSWD='m4r!adbOP' RABBIT_PASSWD='0penstackRMQ' ADMIN_PAS ...

  6. 【miscellaneous】多播的实现和需要注意的问题

    多播的实现和需要注意的问题          前段时间研究了一小段时间的网络多播问题,自己很有感触,把自己的经历写出来,希望有需要的可以少走一些弯路.          先说一下原理,我觉得这个还是需 ...

  7. python3.6下pycharm连接mysql

    由于python3.x里面没有了MysqlDB,所以使用python3.6+django连接不上mysql,会报错 no modul "MysqlDB".于是就有了一个替代品,叫p ...

  8. linux各种IPC机制

    docker中的资源隔离,一种就是IPC的隔离.IPC是进程间通信. 下面的文章转载自https://blog.csdn.net/yyq_9623/article/details/78794775 原 ...

  9. Oracle 中 decode 函数用法(字段A,B, C,A不为空则取A,否则取B,B为空则取C)

    –decode(条件,值1,返回值1,值2,返回值2,…值n,返回值n,缺省值) SELECT DECODE(TEMP.SCORE, ‘A’, ‘90-100’, ‘B’, ‘80-89’, ‘C’, ...

  10. linux终端命令(四)系统信息相关命令(五)其他命令

    四.系统信息相关命令 时间和日期 date cal 磁盘和目录空间 df du 进程信息 ps top kill 1.时间和日期 序号 命令 作用 01 cal 查看日历,-y选项可以查看一年的日历 ...