Logstash input輸入 beats插件 和 syslog插件

原創 周天祥 2020-06-20 14:50

Logstash input輸入 beats插件 和 syslog插件

Logstash input多個輸入插件同時使用

Logstash -7.2.0

filter使用的插件:grok、kv、urldecode、date、mutate、geoip

1、先看總體配置logstash.conf

(執行時請去除所有中文註釋)

input {
   #beats輸入插件
   beats {
	#綁定主機
     host => "0.0.0.0"
	 #綁定端口
     port => 5044
	 #額外添加字段,這裏是爲了區分來自哪一個插件
	 add_field => {"[fields][class]" => "beats"}
   }
   
   syslog {
   #綁定端口
	port => 514
	#額外添加字段,這裏是爲了區分來自哪一個插件
	add_field => {"[fields][class]" => "json"}
   }
}

filter { 
	#處理來自beats插件的日誌,beats這裏收集的是tomcat的日誌
	# 樣例:192.168.68.88 - - [16/Mar/2020:11:22:08 +0800] "GET /esws/testService/test?name=天道酬勤&size=50 HTTP/1.1" 200 15315
	if [fields][class] == "beats"{
		#grop過濾插件,在編寫grop時,可以使用kibana,kibana上有編寫工具,無需自己搭建(官方grok速度太慢)
		grok {
			#解析Apache日誌,自動分割
			match => { "message" => "%{COMMONAPACHELOG}" }
		}
		#鍵值過濾器
		kv {
			#對request字段操作
			source => "request"
			按照& ? 分割
			field_split => "&?"
			value_split => "="
			#選取自己需要的分割後的字段
			include_keys => ["op","reportlet","formlet"] 
		} 
		#解碼
		urldecode {
			#解碼全部字段
			all_fields => true
		}
		#日期處理插件
		date {
			#日期匹配,匹配格式可以有多個
			match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"]
			#匹配的日期存儲到字段中
			target => "@timestamp"
		}
			
		# 數據修改
		mutate{
			#移除指定字段
			remove_field => ["agent","beat","offset","tags","prospector","log","ident","[host][name]","[host][hostname]","[host][architecture]","[host][os]","[host][id]","auth","[input][type]"]
			#複製字段
			copy => { "@timestamp" => "timestamp" }
			#copy => { "[fields][fields_type]" => "fields_type" }
			copy => { "formlet" => "reportlet" }
		}
		
		mutate{
			#替換
			gsub => ["reportlet", "%2F", "/"]
		}
		
		if ! [fields_type]  {
			mutate{
				copy => { "[fields][fields_type]" => "fields_type" }
			}
		}

		date{
			match => [ "timestamp", "yyyy-MM-dd-HH:mm:ss" ]
			locale => "cn"
		}
		
		#ip解析,分析IP的位置
		geoip{
			source => "clientip"
		}
	}
	#處理來自syslog插件的日誌
	if [fields][class] == "json"{
		json {
			source => "message"
		}
		
		if [host] == "192.168.68.100" {
			mutate{
				add_field => {"fields_type" => "firewall"}
			}
		}
	}
	
	  if ! [fields_type] {
                        mutate{
				add_field => {"fields_type" => "error-221"}
                        }       
                } 
}

output {
	elasticsearch {
		action => "index"
		#填寫ES集羣
    hosts => ["http://node-01:9200","http://node-02:9200","http://node-03:9200"]
#ES如果有登陸驗證,要配置用戶名和密碼
#	user => "admin"
#	password => "123456"
		#按字段值,存入不同的索引中
		index => "%{fields_type}-%{+YYYY-MM}"
		
	}
}

2、官方文檔:

beats:https://www.elastic.co/guide/en/logstash/current/plugins-inputs-beats.html

syslog:https://www.elastic.co/guide/en/logstash/current/plugins-inputs-syslog.html

3 對人工智能感興趣點下面鏈接

現在人工智能非常火爆,很多朋友都想學,但是一般的教程都是爲博碩生準備的,太難看懂了。最近發現了一個非常適合小白入門的教程,不僅通俗易懂而且還很風趣幽默。所以忍不住分享一下給大家。點這裏可以跳轉到教程。

https://www.cbedai.net/u014646662

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

006-ELK的二進制安裝

二進制安裝ELKstack 本次搭建屬於單點,在同一臺機器上進行安裝 基礎組件部署 curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Cent

原創 2021-09-30 09:13:00

ELK (ElasticSearch+Logstash+kibana) Linux(centos7) 安裝 使用教程(二) Logstash的安裝

在分佈式系統中,一臺主機可能有多個應用,應用將日誌輸出到主機的指定目錄,這時由logstash來搬運日誌並解析日誌,然後輸出到elasticsearch上。由於於 logstash是java應用,解析日誌是非的消耗cpu和內存,logst

niuhao307523005 2020-07-07 14:43:38

Filebeat配置文件

filebeat採集日誌時,重點是刪除一些無關字段。 ###################### Filebeat Configuration Example ######################### # This

Ayub 2020-07-02 17:12:24

Logstash使用詳解

在做個性搜索的事情,準備使用Logstash+elasticsearch的方式來存儲用戶的行爲數據,看到這個篇博文寫的非常好,轉載過來! 另:轉載這篇文章時Logstash已經到了5.0rc1版本,爲啥版本號跳的這麼快,一個負責人說是爲了

一座青山 2020-07-02 12:36:32

logstash+hdfs 實現 kafka 數據監控

1、kafka 數據格式,tab 分隔 bucket_online_backends    world    105102    1    540    0    2019-11-25 08:10:00.0    320    2019

magic_kid_2010 2020-06-28 17:16:13

docker 部署 logstash,實現 logstash + influxdb 監控 kafka 數據

一、docker 部署 logstash 1、創建 Dockerfile vim Dockerfile FROM logstash:7.8.0 # 安裝input插件 #RUN logstash-plugin install logst

magic_kid_2010 2020-06-28 16:16:51

Logstash日誌插件開發總結

Logstash插件開發介紹 本次文檔一共分爲3部分,分別爲下面3個部分,並且會附上不同的參考文檔 - Logstash輸入插件介紹 - Filter插件開發詳解 - 開發過程遇到一些問題總結 ##logstash介紹 >Logs

miaoge_miaoge 2020-06-20 20:35:12

Logstash input輸入 http插件

Logstash http作爲輸入,並輸出到Elasticsearch Logstash input輸入 http插件 Logstash-7.2.0 本次以json數據爲例 1、先看總體配置http.conf input { http

周天祥 2020-06-20 17:06:39

Logstash 默認支持的輸入和輸出方式

Logstash 默認支持的輸入和輸出方式 Logstash-7.6.1 部分輸入輸出方式在其他播客中會有介紹,歡迎關注 下面每一種方式都連接到官方文檔,點擊可以看官方文檔,但網絡延遲較大 1.input 支持的輸入方式: azure_e

周天祥 2020-06-20 14:50:40

Logstash input輸入 jdbc插件

Logstash  jdbc作爲輸入,從數據庫輸出到Elasticsearch Logstash input輸入 jdbc插件 logstash-7.2.0 以mysql爲例 1、先看總體配置mysql.conf (執行時請去除所有中文註

周天祥 2020-06-20 14:50:40

filebeat+kafka+logstash+elasticsearch全鏈路日誌收集系統壓測分享

前陣子做了一次日誌收集系統壓測,我們的全鏈路日誌收集系統採用filebeat+kafka+logstash+elasticsearch,今天主要分享原始日誌入庫ES的壓測經驗,並不涉及storm的實時日誌處理。壓測目標是120萬條日誌/分

Lancker 2020-06-16 16:04:38

Elastic:在 Grok 中運用 custom pattern 來定義 pattern

在我之前的文章 “Elastic可觀測性 - 數據結構化及處理”,講述瞭如果把一個非結構化的數據變爲一個結構化的數據結構。其中Grok processor 是非常重要的一個。在今天的文章中,我們來更加深入地對它進行描述。今天的這個 Gro

Elastic 中国社区官方博客 2020-06-16 10:35:31

ElasticSearch Logstash RPM版 配置文件尋找過程

使用 systemctl start logstash.service方式啓動Logstash,尋找Logstash配置文件的過程,如下: 使用systemctl start logstash.service啓動Logstash時, 先去

A_stranger 2020-06-15 00:41:20

centos7下安裝配置elk 7.2.1版本教程

ELK簡介 官網地址:https://www.elastic.co/cn/ 官網權威指南:https://www.elastic.co/guide/cn/elasticsearch/guide/current/index.html  

老朱-架构 2020-06-14 01:24:41

Logstash:運用 Elastic Stack 分析 CSDN 閱讀量

在今天的文章中,我將來介紹一下如何使用 Elastic Stack 來分析 CSDN 的閱讀量。在這個教程中,我們將會學到: 如何使用 http_poller 從 github 下載一個CSV,並把該數據導入到 Elasticsearch

Elastic 中国社区官方博客 2020-06-13 16:32:09