文章目录
- Logstash基本语法组成
- 什么是Logstash
- 配置文件:
- 拉去镜像
- 启动镜像
- Logstash输入插件(input)
- 1、标准输入(Stdin)
- 2、读取文件(File)
Logstash基本语法组成
什么是Logstash
logstash是一个数据抽取工具,将数据从一个地方转移到另一个地方。如hadoop生态圈的sqoop等。下载地址:https://www.elastic.co/cn/downloads/logstash
logstash之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程中。
Logstash配置文件有如下三部分组成,其中input、output部分是必须配置,filter部分是可选配置,而filter就是过滤器插件,可以在这部分实现各种日志过滤功能。
配置文件:
input {#输入插件
}
filter {#过滤匹配插件
}
output {#输出插件
}
拉去镜像
因为我这里的es是7.12.1的,所以我logstash我也拉取同样版本,也自己去看版本对照表https://www.elastic.co/cn/support/matrix#matrix_compatibility
docker pull logstash:7.12.1
启动镜像
docker run \
--name logstash \
--restart=always \
-p 5044:5044 \
-p 9600:9600 \
-v logstash-config:/usr/share/logstash/config \
-v logstash-data:/usr/share/logstash/data \
-v logstash-pipeline:/usr/share/logstash/pipeline \
-d logstash:7.12.1
Logstash输入插件(input)
https://www.elastic.co/guide/en/logstash/current/input-plugins.html
1、标准输入(Stdin)
input{stdin{}
}
output {stdout{codec=>rubydebug }
}
2、读取文件(File)
logstash使用一个名为filewatch的ruby gem库来监听文件变化,并通过一个叫.sincedb的数据库文件来记录被监听的日志文件的读取进度(时间戳),这个sincedb数据文件的默认路径在 <path.data>/plugins/inputs/file下面,文件名类似于.sincedb_123456,而<path.data>表示logstash插件存储目录,默认是LOGSTASH_HOME/data。
input {file {path => ["/var/*/*"]start_position => "beginning"}
}
output {stdout{codec=>rubydebug }
}
默认情况下,logstash会从文件的结束位置开始读取数据,也就是说logstash进程会以类似tail -f命令的形式逐行获取数据。
