input{http{port=>7474}}

filter{

    grok{

        match =>{

            #"message" => "%{COMBINEDAPACHELOG}"

            "message" => '%{IPORHOST:clientip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:[@metadata][timestamp]}\] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-) %{QS:referrer} %{QS:agent}'

        }

    }

   # mutate{

   #     copy => { "@timestamp" => "read_timestamp"}

   # }

    ruby {

        code => "event.set('@read_timestamp',event.get('@timestamp'))"

    }

    # 20/May/2015:21:05:15 +0000

    #date{

    #    match => ["timestamp","dd/MMM/yyyy:HH:mm:ss Z"]

    #}

    date{

        match => ["[@metadata][timestamp]","dd/MMM/yyyy:HH:mm:ss Z"]

    }

    geoip{

        source => "clientip"

        fields => ["latitude","longitude","city_name","country_name","region_name"]

    }

    useragent{

        source => "agent"

        target => "useragent"

    }

    mutate{

        convert => { "bytes" => "integer" }

    }

    mutate{

        remove_field =>["headers","message"]

    }

}

output{stdout{codec=>rubydebug}}

apache_logstash.conf

input {

  stdin { }

}

filter {

  grok {

    match => {

      "message" => '%{IPORHOST:clientip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] "%{WORD:verb} %{DATA:request} HTTP/%{NUMBER:httpversion}" %{NUMBER:response:int} (?:-|%{NUMBER:bytes:int}) %{QS:referrer} %{QS:agent}'

    }

  }

  date {

    match => [ "timestamp", "dd/MMM/YYYY:HH:mm:ss Z" ]

    locale => en

  }

  geoip {

    source => "clientip"

  }

  useragent {

    source => "agent"

    target => "useragent"

  }

}

output {

  stdout {

    codec => dots {}

  }

  elasticsearch {

    index => "apache_elastic_example"

    template => "./apache_template.json"

    template_name => "apache_elastic_example"

    template_overwrite => true

  }

}


input{

    #http{

    #    port => 7474

    #}

    stdin{}

   # file{

   #     path => "/Users/rockybean/Downloads/es/6.1/logstash-6.1.1/demo_data/apache_logs/apache_logs"

   #     start_position => "beginning"

   # }

}

filter{

    #mutate{add_field => {"[@metadata][debug]"=>true}}

    grok{

        match => {

            "message" => '%{IPORHOST:clientip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:[@metadata][timestamp]}\] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-) %{QS:referrer} %{QS:agent}'

        }

    }

    ruby{

        code => "event.set('@read_timestamp',event.get('@timestamp'))"

    }

    # 20/May/2015:21:05:56 +0000

    date{

        match => ["[@metadata][timestamp]","dd/MMM/yyyy:HH:mm:ss Z"]

    }

    mutate{

        convert => {"bytes" => "integer"}

    }

    geoip{

        source => "clientip"

        fields => ["location","country_name","city_name","region_name"]

    }

    useragent{

        source => "agent"

        target => "useragent"

    }

    mutate{remove_field=>["headers"]}

    mutate{

        add_field=>{

            "[@metadata][index]" => "apache_logs_%{+YYYY.MM}"

        }

    }

    if "_grokparsefailure" in [tags] {

        mutate{

            replace=>{

                "[@metadata][index]" => "apache_logs_failure_%{+YYYY.MM}"

            }

        }

    }else{

        mutate{remove_field=>["message"]}

    }

}

output{

    if [@metadata][debug]{

        stdout{codec=>rubydebug{metadata=>true}}

    }else{

        stdout{codec=>dots}

        elasticsearch{

            index => "%{[@metadata][index]}"

            document_type => "doc"

        }

    }

}

两份简单的logstash配置的更多相关文章

  1. Filebeat与Logstash配置SSL加密通信

    为了保证应用日志数据的传输安全,我们可以使用SSL相互身份验证来保护Filebeat和Logstash之间的连接. 这可以确保Filebeat仅将加密数据发送到受信任的Logstash服务器,并确保L ...

  2. LogStash配置、使用(三)

    LogStash配置 官方文档:https://www.elastic.co/guide/en/logstash/current/index.html 查看yum安装路径 rpm -ql logsta ...

  3. logstash 配置 logstash-forwarder (前名称:lumberjack)

    logstash-forwarder(曾名lumberjack)是一个用go语言写的日志发送端, 主要是为一些机器性能不足,有性能强迫症的患者准备的. 主要功能: 通过配置的信任关系,把被监控机器的日 ...

  4. 一个简单的零配置命令行HTTP服务器

    http-server 是一个简单的零配置命令行HTTP服务器, 基于 nodeJs. 如果你不想重复的写 nodeJs 的 web-server.js, 则可以使用这个. 安装 (全局安装加 -g) ...

  5. 一个简单的零配置命令行HTTP服务器 - http-server (nodeJs)

    http-server 是一个简单的零配置命令行HTTP服务器, 基于 nodeJs. 如果你不想重复的写 nodeJs 的 web-server.js, 则可以使用这个. 安装 (全局安装加 -g) ...

  6. 简单几步配置gitlab

    简单几步配置gitlab 之前配置gitlab需要很多步骤,要装apache2.ruby.tomcat.mysql等一片东西.有没有更简单的方式呢?现在可以借助bitnami,简化了很多. 可以参考v ...

  7. Spring简单的文件配置

    Spring简单的文件配置 “计应134(实验班) 凌豪” 一.Spring文件配置 spring至关重要的一环就是装配,即配置文件的编写,接下来我按刚才实际过程中一步步简单讲解. 首先,要在web. ...

  8. Redhat 简单本地yum 配置

    Redhat 简单本地yum 配置 一.将redhat 系统的镜像挂载到系统上 Vmware Workstion 环境下: [虚拟机设置]--[硬件]--[CD/DVD]--[使用ISO映像文件]-- ...

  9. Spring Boot 揭秘与实战 自己实现一个简单的自动配置模块

    文章目录 1. 实战的开端 – Maven搭建 2. 参数的配置 - 属性参数类 3. 真的很简单 - 简单的服务类 4. 自动配置的核心 - 自动配置类 5. spring.factories 不要 ...

随机推荐

  1. 一路编程 -- Gruntfile.js

    <一路编程> Steven Foote 第四章构建工具 中的 Gruntfile.js 文件的 JSHint 部分,如果按照书中所写,run  grunt 的命令的时候会出错. 此处附上完 ...

  2. black box黑盒测试

    软件规格说明书 等价类划分,完备性,无冗余性(不能有交集).   健壮等价类:无效等价类 边界值分析,对于一个含有n个变量的程序,采用边界值分析法测试程序会产生4n+1个测试用例           ...

  3. windows7(win7)64/32位激活工具

    win7激活工具中文绿色免费版是改自binbin的作品,我们修改的windows7激活工具grldr模拟激活是别人的东西,能激活win7旗舰.原作者是binbin,其他的激活工具都是基于grldr模拟 ...

  4. I/O:RandomAccessFile

    RandomAccessFile: /* 此类的实例支持对随机访问文件的读取和写入.随机访问文件的行为类似存储在文件系统中的一个 大型 byte 数组.存在指向该隐含数组的光标或索引,称为文件指针:输 ...

  5. Neo4j电影关系图Cypher

    , tagline:'Welcome to the Real World'}) }) }) }) }) }) }) }) CREATE (Keanu)-[:ACTED_IN {roles:['Neo' ...

  6. CentOS6.5安装Oracle 12c

    CentOS6.5 安装 ORACLE 12c步骤 Oracle官网下载oracle12c安装包,解压软件:unzip linuxx64_12201_database.zip 一.创建用户和组#gro ...

  7. Day1 -Python program

    采用python 3.5 用PyCharm编译 第一串代码 print ("hello,world!") 练习1 输入一个用户名和密码,如果输入正确,就欢迎登陆,否则就显示错误. ...

  8. 个人永久性免费-Excel催化剂功能第50波-批量打印、导出PDF、双面打印功能

    在倡导无纸化办公的今天,是否打印是一个碍眼的功能呢,某些时候的确是,但对于数据的留存,在现在鼓吹区块链技术的今天,仍然不失它的核心价值,数据报表.单据打印出来留存,仍然是一种不可或缺的数据存档和防篡改 ...

  9. 个人永久性免费-Excel催化剂功能第46波-区域集合函数,超乎所求所想

    在常规自定义函数的世界中,一般情况下,仅会输入一堆的参数,最终输出一个结果值,在以往Excel催化剂的自定义函数,已经大量出现输入一堆参数返回多个结果值并自动输出到多个单元格区域内.此项技术可运用的场 ...

  10. 小记---idea springboot 报错没有get或者set方法

    给idea 安装一个插件即可