Logstash数据处理服务的核心概念以及简单使用
1.Logstash服务核心概念2.部署Logstash以及基本使用
2.1.部署Logstash2.2.Logstash基本使用2.3.配置logstash的配置文件路径
1.Logstash服务核心概念Logstash能够将采集的日志进行格式化、过滤,最后将数据推送到Elasticsearch存储中。
Logstash一共分为三方面的配置:
Input:日志数据的来源,可以是stdin、file、tcp、redis、syslog、kafka等等。Filter:对日志数据进行过滤格式化,有较多丰富的过滤插件:Grok正则、Date时间处理、Json编码、Mutate数据修改。Output:将采集的日志输出到指定的存储中,可以是Stdout、File、TCP、Redis、ES等。 2.部署Logstash以及基本使用 2.1.部署Logstash
Logstash二进制包没有集成jdk,需要安装java1.8。
1.安装java环境 [root@elkstack-1 logstash]# yum -y install java-1.8.0-openjdk 2.部署logstash [root@elkstack-1 tools]# tar xf logstash-7.9.3.tar.gz -C /data/elk [root@elkstack-1 elk]# mv logstash-7.9.3/ logstash 3.配置logstash服务启动脚本 [root@elkstack-1 logstash]# vim /usr/lib/systemd/system/logstash.service [Unit] Description=logstash [Service] ExecStart=/data/elk/logstash/bin/logstash ExecReload=/bin/kill -HUP $MAINPID KillMode=process Restart=on-failure [Install] WantedBy=multi-user.target 4.启动logstash [root@elkstack-1 logstash]# systemctl start logstash2.2.Logstash基本使用
Logstash默认会给日志增加三个字段。
“@timestamp” 标记事件发生的时间点
“host” 标记事件发生的主机
“type” 标记事件的唯一类型
Logstash命令格式参数。
-e:字符串形式的配置文件。
-f:指定运行的配置文件。
-t:检测配置文件的语法。
Logstash从标准输入中获取日志并打印到标准输出中
[root@elkstack-1 ~]# /data/elk/logstash/bin/logstash -e 'input{stdin{}}output{stdout{codec=>rubydebug}}'
······
hello jiangxl #输入内容
{ #输出
"@timestamp" => 2021-12-08T08:27:54.311Z,
"message" => "hello jiangxl",
"@version" => "1",
"host" => "elkstack-1"
}
日志从标准输入中获取===>输出到标准输出
{
"@timestamp" => 2021-12-08T08:32:38.781Z,
"message" => "日志从标准输入\xE9中获取存\xE8===>输出到标准输出",
"@version" => "1",
"host" => "elkstack-1"
}
logstash -e命令后面指定的字符串其实就是一个配置文件格式,只不过将配置文件内容合成一行来执行,注意:logstash -e只能是在没有配置logstash配置文件目录的情况下才可以成功使用,否则使用该命令模拟数据输入输出会报错。
/data/elk/logstash/bin/logstash -e 'input{stdin{}}output{stdout{codec=>rubydebug}}'
等同于下面的logstash配置文件内容格式
input{
stdin{
}
}
filter {
}
output{
stdout
{
codec=>rubydebug
}
}
2.3.配置logstash的配置文件路径
1.配置logstash
[root@elkstack-1 logstash]# vim config/logstash.yml
pipeline: #管道配置
batch:
size: 125 #管道批处理大小
delay: 5 #管道批处理延迟
pipeline.ordered: auto
#config.reload.automatic: false #是否启用
#config.reload.interval: 3s
#http.enabled: true
path.config: /data/elk/logstash/conf.d #配置文件路径
http.host: 0.0.0.0 #监听地址
http.port: 9600-9700 #使用的端口号
log.level: info #日志级别
path.logs: /data/elk/logstash/logs #日志存储路径
2.创建配置文件目录
[root@elkstack-1 logstash]# mkdir /data/elk/logstash/conf.d
3.重启logstash
[root@elkstack-1 logstash]# systemctl restart logstash
