前言

ELK搭建没有难度,难的是logstash的配置文件,logstash主要分为三个部分,input,filter和output。

input,输入源可选的输入源由很多,详情见ELK官网,这里我们说s3作为输入源。

filter,过滤器,logstash可以在input和output中间添加过滤器,可以将数据进行分类、过滤、打标签等操作,将数据格式化。logstash的核心就在此。

output,输出。一般是输出到elasticsearch。

说明:

AWS的ELB日志存储在S3,可以通过logstash的S3插件获取,经过过滤器后,输出到elasticsearch。

ELK的搭建和配置在这里就不说了,看官方文档就行,这里提供一个logstash的配置文件 ,用于抓取和格式化ELB日志。

input {

	s3 {

        access_key_id => "access_key"

        secret_access_key => "secret_key"

        bucket => "elb_bucket"

        region => "aws_region"

        type => "s3"

    }

}

filter {

	mutate{

	split => { "message" => " " }

	add_field => {

		"log_time" => "%{[message][0]}"

		}

	add_field => {

		"elb_name" => "%{[message][1]}"

		}

	add_field => {

		"client_ip" => "%{[message][2]}"

		}

	add_field => {

		"t1" => "%{[message][4]}"

		}

	add_field => {

		"t2" => "%{[message][5]}"

		}

	add_field => {

		"t3" => "%{[message][6]}"

		}

	add_field => {

		"elb_code" => "%{[message][7]}"

		}

	add_field => {

		"server_code" => "%{[message][8]}"

		}

	add_field => {

		"getpost" => "%{[message][11]}"

		}

	add_field => {

		"url" => "%{[message][12]}"

		}

	remove_field => [ "message" ]

	}

	mutate {

	convert => { "t1" => "float" }

	convert => { "t2" => "float" }

	convert => { "t3" => "float" }

	convert => { "elb_code" => "integer" }

	convert => { "server_code" => "integer" }

	}

	grok {

		break_on_match => false

		match => { "client_ip" => "%{IPV4:device_ip}" }

		match => { "url" => "%{URIPROTO:url_head}://%{URIHOST:url_destination}:%{POSINT:url_port}%{URIPATH:url_path}(?:%{URIPARAM:url_param})?" }

		match => { "getpost" => "%{WORD:get_post}" }

		remove_field => [ "getpost" ]

	}

	mutate{

	split => { "url_path" => "." }

	add_field => {

		"url_api" => "%{[url_path][0]}"

		}

	add_field => {

		"html_ashx" => "%{[url_path][1]}"

		}

	}

	date {

		match => ["log_time", "ISO8601"]

		target => "log_date"

		add_tag => [ "log_date" ]

		remove_field => [ "log_time" ]

	}

	geoip {

		source => "device_ip"

		add_tag => [ "geoip" ]

		remove_field => [ "client_ip" ]

	}

}

output {

	elasticsearch {

	hosts => ["xxx.xxx.xxx.xxx:9200"]

	index => "logstash-s3-%{+YYYY-MM-dd}"

	}

}

【ELK】抓取AWS-ELB日志的logstash配置文件的更多相关文章

  1. 手把手教你用Python抓取AWS的日志(CloudTrail)数据

    数据时代,利用数据做决策是大数据的核心价值. 本文手把手,教你使用python进行AWS的CloudTrail配置,进行日志抓取.进行数据分析,发现数据价值! 如今是云的时代,许多公司都把自己的IT架 ...

  2. [原创]adb使用教程v1.0-----by-----使用logcat快速抓取android崩溃日志

    原文再续,书接上回:<使用logcat快速抓取android崩溃日志>中提到的工具包可以下载拉~ <使用logcat快速抓取android崩溃日志>:http://www.cn ...

  3. [原创]adb使用教程v1.1.0-----by-----使用logcat快速抓取android崩溃日志

    原文再续,书接上回:<使用logcat快速抓取android崩溃日志>中提到的工具包可以下载拉~ <使用logcat快速抓取android崩溃日志>:http://www.cn ...

  4. .NET LINQ分析AWS ELB日志避免996

    前言 小明是个单纯的.NET开发,一天大哥叫住他,安排了一项任务: "小明,分析一下我们超牛逼网站上个月的所有AWS ELB流量日志,这些日志保存在AWS S3上,你分析下,看哪个API的响 ...

  5. [原创]使用logcat快速抓取android崩溃日志

    在android APP测试过程中会发生不少的crash,目前抓取日志的主流方法是通过eclipse或者eclipse的ddms组件进行捕抓,这两种方法有个缺点是启动时非常耗时.本文通过adb程序与b ...

  6. 使用flume抓取tomcat的日志文件下沉到kafka消费

    Tomcat生产日志 Flume抓取日志下沉到kafka中 将写好的web项目打包成war包,eclise直接导出export,IDEA 在artifact中添加新的artifact-achieve项 ...

  7. 抓取Android崩溃日志

    作为一个测试人员,特别是安卓的测试,由于系统版本的不同和手机本身各个品牌的优化和硬件的不同,会出现各种各样的崩溃. 记录崩溃的方式有很多种,比如使用录屏工具或文档进行记录,但是最简洁明了可以直接定位的 ...

  8. Java学习-046-日志抓取合并后排序问题解决方案之 --- log4j 二次定制,实现日志输出添加延时10ms

    自3月25至今,已经好久没有写学习日志了,今天在写日志抓取合并的小方法,发现抓取后的日志并米有依据系统执行的日志顺序排序.日志抓取排列逻辑如下: 通过日志标识,从各个日志文件(例如 use.log,e ...

  9. 制作bat脚本,抓取Android设备logcat

    ::bat制作抓取Android设备的logcat,并保存以时间命名的txt文件至设备目录 1 @ECHO off adb wait-for-device ECHO 正在连接设备 adb logcat ...

随机推荐

  1. 【HTML5】summary交互元素

    1.源码 <!DOCTYPE HTML> <html> <head> <meta charset="UTF-8"/> <tit ...

  2. linux与开发板串口通信

    研究了一天的linux串口,结果改了树莓派的系统配置文件config.txt给改了导致系统崩溃....其实我感觉网上的大多数方法都是不符合新版本树莓派的,网上的方法是通过修改系统配置文件后安装mini ...

  3. MyISAM和InnoDB存储引擎的差别

    1.MyISAM不支持事务处理等高级处理,而InnoDB支持. 2.MyISAM强调的是性能,速度更快,而InnoDB提供事务支持以及外键等高级数据库功能. 3.MyISAM读性能比InnoDB强非常 ...

  4. css进阶读书笔记

    说明:努力在十一左右,最迟双11之前掌握所有css知识要点 一.摘自<写给大家看的CSS书(第2版)>(虽然书比较旧,09年版的,但对于我这种刚入门的小菜鸟 来说,能学到的还是挺多的) 1 ...

  5. Ubuntu 下修改 Could not reliably determine the server’s fully qualified domain name, using 127.0.1.1 for ServerName

    在Ubuntu上安装Apache,每次重启,都会出现以下错误提示: Could not reliably determine the server’s fully qualified domain n ...

  6. 网页抓取工具Teleport Ultra简介及如何使用

    Teleport Ultra是一款专业的离线浏览器,能够快速.准确地从网络抓取数据并保存到本地,实现离线浏览的目的.它可以从Internet的任何地方抓回你想要的任何文件,它可以在你指定的时间自动登录 ...

  7. 通过Cloudera Manager安装CDH 5.6

    CDH的简介 大家常常说CDH.其全称是:Cloudera's Distribution Including Apache Hadoop.简单的说是Cloudera公司的Hadoop平台,是在Apac ...

  8. SendMessage用法

    SendMessage(hWnd,wMsg,wParam,lParam) 参数1:hWnd-窗口句柄.窗口可以是任何类型的屏幕对象. 参数2:wMsg-用于区别其他消息的常量值. 参数3:wParam ...

  9. stage3D基础一-----Stage3D如何工作(转)

    在如何使用Stage3D系列中的第一个教程中,你将会学习到有关在Flash Player 11中新引入的ActionScript API,该API允许在Flash中利用硬件加速进行3D渲染.在学习这个 ...

  10. PorterDuffXferMode不对的真正原因PorterDuffXferMode深入试验)

    菜鸡wing遇敌PorterDuffXferMode,不料过于轻敌,应战吃力. 随后与其大战三天三夜.三百余回合不分胜负. 幸得 @咪咪控 相助,侥幸获胜. keyword:PorterDuffXfe ...