logstash是一个数据分析软件,主要目的是分析log日志。
日志经过采集后,就会输入到logstash,由logstash进行加工过滤分析,再输入到ES中。这样,ES索引中的文档就会获取到所需的字段
logstash的配置分为
- input
- filter
- output
Input
input模块主要用户收集数据。
文件
input{
file{
#path属性接受的参数是一个数组,其含义是标明需要读取的文件位置
path => ['pathA','pathB']
#表示多久去path路径下查看是够有新的文件产生。默认是15秒检查一次。
discover_interval => 15
#排除那些文件,也就是不去读取那些文件
exclude => ['fileName1','fileName2']
#被监听的文件多久没更新后断开连接不在监听,默认是一个小时。
close_older => 3600
#在每次检查文件列 表的时候, 如果一个文件的最后 修改时间 超过这个值, 就忽略这个文件。 默认一天。
ignore_older => 86400
#logstash 每隔多 久检查一次被监听文件状态( 是否有更新) , 默认是 1 秒。
stat_interval => 1
#sincedb记录数据上一次的读取位置的一个index
sincedb_path => '$HOME/. sincedb'
#logstash 从什么 位置开始读取文件数据, 默认是结束位置 也可以设置为:beginning 从头开始
start_position => 'beginning'
}
}
如果需要每次都从头开始读取文件的话,设置start_position => beginning是没有用的,你可以选择sincedb_path 定义为 /dev/null
数据库
input{
jdbc{
#jdbc sql server 驱动,各个数据库都有对应的驱动,需自己下载
jdbc_driver_library => "/etc/logstash/driver.d/sqljdbc_2.0/enu/sqljdbc4.jar"
#jdbc class 不同数据库有不同的 class 配置
jdbc_driver_class => "com.microsoft.sqlserver.jdbc.SQLServerDriver"
#配置数据库连接 ip 和端口,以及数据库
jdbc_connection_string => "jdbc:sqlserver://200.200.0.18:1433;databaseName=test_db"
#配置数据库用户名
jdbc_user =>
#配置数据库密码
jdbc_password =>
# 定时器 多久执行一次SQL,默认是一分钟
# schedule => 分 时 天 月 年
# schedule => * 22 * * * 表示每天22点执行一次
schedule => "* * * * *"
#是否清除 last_run_metadata_path 的记录,如果为真那么每次都相当于从头开始查询所有的数据库记录
clean_run => false
#是否需要记录某个column 的值,如果 record_last_run 为真,可以自定义我们需要表的字段名称,
#此时该参数就要为 true. 否则默认 track 的是 timestamp 的值.
use_column_value => true
#如果 use_column_value 为真,需配置此参数. 这个参数就是数据库给出的一个字段名称。当然该字段必须是递增的,可以是 数据库的数据时间这类的
tracking_column => create_time
#是否记录上次执行结果, 如果为真,将会把上次执行到的 tracking_column 字段的值记录下来,保存到 last_run_metadata_path 指定的文件中
record_last_run => true
#只需要在 SQL 语句中 WHERE MY_ID > :last_sql_value 即可. 其中 :last_sql_value 取得就是该文件中的值
last_run_metadata_path => "/etc/logstash/run_metadata.d/my_info"
#是否将字段名称转小写。
#这里有个小的提示,如果你这前就处理过一次数据,并且在Kibana中有对应的搜索需求的话,还是改为true,
#因为默认是true,并且Kibana是大小写区分的。准确的说应该是ES大小写区分
lowercase_column_names => false
#你的SQL的位置,当然,你的SQL也可以直接写在这里。
#statement => SELECT * FROM tabeName t WHERE t.creat_time > :last_sql_value
statement_filepath => "/etc/logstash/statement_file.d/my_info.sql"
#ES数据类型
type => "my_info"
}
}
}
外载的SQL文件就是一个文本文件就可以了,还有需要注意的是,一个jdbc{}插件就只能处理一个SQL语句,如果你有多个SQL需要处理的话,只能在重新建立一个jdbc{}插件。
通过filebeat收集
input {
beats {
#接受数据端口
port => 5044
#数据类型
type => "logs"
}
}
tcp,通常一些日志通过tcp连接暴露
input {
tcp {
port => "5044"
codec => "json"
add_field => ["log_channel", "kong"]
}
}
filter
filter是过滤器,会对收集到的数据进行处理。elastic官方还提供了许多插件,可以协助数据处理
filter是logstash最复杂的一个模块,这里只做简述
- grok 可以匹配一切数据
- Geoip 获取 IP 对应的地理位置
- json 对于 json 格式的 log,可以通过 codec 的 json 编码进行解析
- split logstash 同样支持将一行数据变成多个事件,它提供了 split 插件,用来把一行数据拆分成多个事件
- mutate logstash 支持在 filter 中对事件中的数据进行修改
- date 用于处理时间
以下是一个分析eventti日志的filter
首先创建了一个模式文件,用于存取正则模式
# /usr/share/logstash/eventti/patterns
DATE1 [0-9]{4}-[0-9]{2}-[0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2}\.[0-9]+
LEVEL (INFO)|(DEBUG)|(ERROR)|(WARN)|(FATAL)
JAVA_SOURCE \[.*\]
JAVALOGMESSAGE (.*)
DATE2 [0-9]{4}\/[0-9]{2}\/[0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2}
LEVEL2 (\[I\])|(\[D\])|(\[E\])|(\[W\])|(\[F\])
ID [a-zA-Z0-9-]+
MESSAGE (.*?)
TYPE [a-zA-Z0-9_]+
TIME1 [0-9]+
USERNAME (.*)
然后在logstash配置中使用filter进行过滤分析
filter {
grok {
# 正则模式位置
patterns_dir => ["/usr/share/logstash/eventti/patterns"]
# 将匹配到的模式转化为字段
match => {
"message" => "%{DATE2:logdate} %{LEVEL2:loglevel} id:%{ID:logid} message:%{MESSAGE:logmessage}\stype:%{TYPE:logtype} timestamp:%{TIME1:logtime} user:%{USERNAME:username}"
}
}
date {
# 匹配时间转化为时间戳
match => [ "logtime", "UNIX_MS" ]
target => "@timestamp"
}
mutate {
# 转化格式
convert =>{"logtime" => "integer"}
}
}
output
output用于将处理好的数据进行输出
文件
output{
file{
path => "/home/app/logbak/%{+YYYY.MM.dd}-file.txt"
codec => line {format => "%{[collectValue]}"} # 设置根据原始数据格式保存,不会带Json格式
}
}
ES
output{
elasticsearch{
# ES地址
hosts=>["172.132.12.3:9200"]
# es要执行的动作 index, delete, create, update
action=>"index"
index=>"indextemplate-logstash"
#document_type=>"%{@type}"
# 为索引提供document id ,对重写elasticsearch中相同id词目很有用
document_id=>"ignore"
# 有效的filepath 设置自己的template文件路径
template=>"/opt/logstash-conf/es-template.json"
template_name=>"es-template.json"
template_overwrite=>true
}
}
pipeline
Logstash 通常需要处理多个并行事件流,如果总是通过if进行判断则显得臃肿。
logstash在6.0.0之后引入了pipeline。用户可以在配置文件pipelines.yml
中添加新的 pipeline 配置并指定其配置文件就可以了
- pipeline.id: kong
path.config: "/usr/share/logstash/kong/kong.conf"
- pipeline.id: eventti
path.config: "/usr/share/logstash/eventti/eventti.conf"
然后在不同的配置文件配置不同的日志分析策略