logstash

logstash是一个数据分析软件，主要目的是分析log日志。

日志经过采集后，就会输入到logstash，由logstash进行加工过滤分析，再输入到ES中。这样，ES索引中的文档就会获取到所需的字段

logstash的配置分为

1. input
2. filter
3. output

Input

input模块主要用户收集数据。

1. 文件

   input{
        file{
            #path属性接受的参数是一个数组，其含义是标明需要读取的文件位置
            path => ['pathA'，'pathB']
            #表示多久去path路径下查看是够有新的文件产生。默认是15秒检查一次。
            discover_interval => 15
            #排除那些文件，也就是不去读取那些文件
            exclude => ['fileName1','fileName2']
            #被监听的文件多久没更新后断开连接不在监听，默认是一个小时。
            close_older => 3600
            #在每次检查文件列 表的时候， 如果一个文件的最后 修改时间 超过这个值， 就忽略这个文件。 默认一天。
            ignore_older => 86400
            #logstash 每隔多 久检查一次被监听文件状态（ 是否有更新） ， 默认是 1 秒。
            stat_interval => 1
            #sincedb记录数据上一次的读取位置的一个index
            sincedb_path => '$HOME/. sincedb'
            #logstash 从什么 位置开始读取文件数据， 默认是结束位置 也可以设置为：beginning 从头开始
            start_position => 'beginning'
        }
     }

   如果需要每次都从头开始读取文件的话，设置start_position => beginning是没有用的，你可以选择sincedb_path 定义为 /dev/null

2. 数据库

   input{
    jdbc{
            #jdbc sql server 驱动,各个数据库都有对应的驱动，需自己下载
            jdbc_driver_library => "/etc/logstash/driver.d/sqljdbc_2.0/enu/sqljdbc4.jar"
            #jdbc class 不同数据库有不同的 class 配置
        jdbc_driver_class => "com.microsoft.sqlserver.jdbc.SQLServerDriver"
            #配置数据库连接 ip 和端口，以及数据库
            jdbc_connection_string => "jdbc:sqlserver://200.200.0.18:1433;databaseName=test_db"
            #配置数据库用户名
            jdbc_user =>
            #配置数据库密码
            jdbc_password =>
            # 定时器 多久执行一次SQL，默认是一分钟
            # schedule => 分 时 天 月 年
            # schedule => * 22  *  *  * 表示每天22点执行一次
            schedule => "* * * * *"
            #是否清除 last_run_metadata_path 的记录,如果为真那么每次都相当于从头开始查询所有的数据库记录
            clean_run => false
            #是否需要记录某个column 的值,如果 record_last_run 为真,可以自定义我们需要表的字段名称，
            #此时该参数就要为 true. 否则默认 track 的是 timestamp 的值.
            use_column_value => true
            #如果 use_column_value 为真,需配置此参数. 这个参数就是数据库给出的一个字段名称。当然该字段必须是递增的，可以是 数据库的数据时间这类的
            tracking_column => create_time
            #是否记录上次执行结果, 如果为真,将会把上次执行到的 tracking_column 字段的值记录下来,保存到 last_run_metadata_path 指定的文件中
            record_last_run => true
            #只需要在 SQL 语句中 WHERE MY_ID > :last_sql_value 即可. 其中 :last_sql_value 取得就是该文件中的值
            last_run_metadata_path => "/etc/logstash/run_metadata.d/my_info"
            #是否将字段名称转小写。
            #这里有个小的提示，如果你这前就处理过一次数据，并且在Kibana中有对应的搜索需求的话，还是改为true，
            #因为默认是true，并且Kibana是大小写区分的。准确的说应该是ES大小写区分
            lowercase_column_names => false
            #你的SQL的位置，当然，你的SQL也可以直接写在这里。
            #statement => SELECT * FROM tabeName t WHERE  t.creat_time > :last_sql_value
            statement_filepath => "/etc/logstash/statement_file.d/my_info.sql"
            #ES数据类型
            type => "my_info"
            }
    }
   }

   外载的SQL文件就是一个文本文件就可以了，还有需要注意的是，一个jdbc{}插件就只能处理一个SQL语句，如果你有多个SQL需要处理的话，只能在重新建立一个jdbc{}插件。

   1. 通过filebeat收集

      input {
      beats {
        #接受数据端口
        port => 5044
        #数据类型
        type => "logs"
        }
      }

   2. tcp,通常一些日志通过tcp连接暴露

      input {
      tcp {
            port => "5044"
            codec => "json"
            add_field => ["log_channel", "kong"]
        }
      }

filter

filter是过滤器，会对收集到的数据进行处理。elastic官方还提供了许多插件，可以协助数据处理

filter是logstash最复杂的一个模块，这里只做简述

1. grok 可以匹配一切数据
2. Geoip 获取 IP 对应的地理位置
3. json 对于 json 格式的 log，可以通过 codec 的 json 编码进行解析
4. split logstash 同样支持将一行数据变成多个事件,它提供了 split 插件，用来把一行数据拆分成多个事件
5. mutate logstash 支持在 filter 中对事件中的数据进行修改
6. date 用于处理时间

以下是一个分析eventti日志的filter

首先创建了一个模式文件，用于存取正则模式

# /usr/share/logstash/eventti/patterns
DATE1   [0-9]{4}-[0-9]{2}-[0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2}\.[0-9]+
LEVEL   (INFO)|(DEBUG)|(ERROR)|(WARN)|(FATAL)
JAVA_SOURCE \[.*\]
JAVALOGMESSAGE (.*)
DATE2   [0-9]{4}\/[0-9]{2}\/[0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2}
LEVEL2   (\[I\])|(\[D\])|(\[E\])|(\[W\])|(\[F\])
ID      [a-zA-Z0-9-]+
MESSAGE (.*?)
TYPE    [a-zA-Z0-9_]+
TIME1   [0-9]+
USERNAME  (.*)

然后在logstash配置中使用filter进行过滤分析

filter {
    grok {
        # 正则模式位置
        patterns_dir => ["/usr/share/logstash/eventti/patterns"]
        # 将匹配到的模式转化为字段
        match => {
            "message" => "%{DATE2:logdate} %{LEVEL2:loglevel} id:%{ID:logid} message:%{MESSAGE:logmessage}\stype:%{TYPE:logtype} timestamp:%{TIME1:logtime} user:%{USERNAME:username}"
        }
    }
    date {
        # 匹配时间转化为时间戳
        match => [ "logtime", "UNIX_MS" ]
        target => "@timestamp"
    }
    mutate {
        # 转化格式
        convert =>{"logtime" => "integer"}
    }
}

output

output用于将处理好的数据进行输出

1. 文件

   output{
    file{
          path => "/home/app/logbak/%{+YYYY.MM.dd}-file.txt"
          codec => line {format => "%{[collectValue]}"} # 设置根据原始数据格式保存，不会带Json格式
   }
   }

2. ES

   output{
    elasticsearch{  
        # ES地址
        hosts=>["172.132.12.3:9200"]  
        # es要执行的动作 index, delete, create, update
        action=>"index"  
        index=>"indextemplate-logstash"  
        #document_type=>"%{@type}"  
        # 为索引提供document id ，对重写elasticsearch中相同id词目很有用
        document_id=>"ignore"  
        # 有效的filepath 设置自己的template文件路径
        template=>"/opt/logstash-conf/es-template.json"  
        template_name=>"es-template.json"  
        template_overwrite=>true       
    }
   }

pipeline

Logstash 通常需要处理多个并行事件流，如果总是通过if进行判断则显得臃肿。

logstash在6.0.0之后引入了pipeline。用户可以在配置文件pipelines.yml中添加新的 pipeline 配置并指定其配置文件就可以了

- pipeline.id: kong
  path.config: "/usr/share/logstash/kong/kong.conf"
- pipeline.id: eventti
  path.config: "/usr/share/logstash/eventti/eventti.conf"

然后在不同的配置文件配置不同的日志分析策略