[TOC]
# logstash
* * * * *
### 1. 安裝
安裝deb就行
安裝插件:無論是elasticsearch還是kibana,安裝插件都有兩種方法:離線,在線命令安裝
> 1. 離線下載插件解壓后,放到對應的elasticsearch或者kibana的plugins目錄下,重啟服務即可,
> 例如在安裝 x-pack,需要在elasticsearch安裝,也需要在kibana安裝,在kibana用命令安裝特別慢,所以用下載好的壓縮文件,解壓后直接放入/usr/share/kibana/plugins(kibana安裝目錄)下,重啟即可,重啟第一次需要登錄名密碼elastic/changeme
### 2.使用
#### 2.1 filebeat、logstash、elasticsearch
1. 開啟服務
~~~
bin/logstash –f apache.config --config.reload.automatic
# --config.reload.automatic:自動讀取配置文件,并重啟
~~~
> 如果啟動時沒有加入自動讀取配置文件選項,輸入一下命令,發送信號量讓logstash讀取配置文件,并且重啟pipeline(管道)
~~~
kill -1 14175 # 給這個進程id14175,發送信號量
~~~
2. 配置logstash文件
~~~
input {
beats {
port => "5043" # 指定從filebeat獲取數據,并監聽5043端口
}
}
filter {
grok { # 將日志按列分開
match => { "message" => "%{COMBINEDAPACHELOG}"}
}
geoip { # 會根據IP得到這個IP的所在地理位置信息
source => "clientip"
}
}
output {
stdout { codec => rubydebug }
elasticsearch { # 定義輸出到elasticsearch中
hosts => [ "192.168.56.131:9200" ]
}
}
~~~
2. 配置filebeat
* 安裝deb就行
~~~
vim /etc/filebeat/filebeat.yml
# 做以下修改
- input_type: log
# Paths that should be crawled and fetched. Glob based paths.
paths:
- /home/tuna/test/logstash-tutorial-dataset #指定logstash監控的文件
output.logstash: # 監控結果發送到logstash
# Array of hosts to connect to.
hosts: ["192.168.56.131:5043"] # 指定logstash的地址和規定filebeat監聽的端口
~~~
> 開啟filebeat
~~~
sudo ./filebeat -e -c filebeat.yml -d "publish"
~~~
> 如果想要filebeat重新讀一遍所監聽的文件或者目錄需要:
> 1. 關閉filebeat
> 2. 刪除data目錄下的registry文件
> 3. 啟動filebeat
#### 2.2 logstash 直接監控本地文件
* logstash會監控文件的變化,并且把讀取文件的位置信息記錄在目錄
`/usr/share/logstash/data/plugins/inputs/file`
默認記錄文件時隱藏的。詳細信息在elasticsearch-logstash-inputplugin中找
想要重新讀,停止logsstash,并刪除file目錄下的記錄(ll一下,默認是隱藏的),然后在重啟logstash
~~~
input {
file {
path => ["/home/tuna/test/test.txt","/var/log/redis/redis6379.log"]
type => "system"
start_position => "beginning"
}
}
filter {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}"}
}
}
output {
stdout { codec => rubydebug }
elasticsearch {
hosts => [ "192.168.56.131:9200" ]
}
}
~~~
> * 啟動
~~~
./logstash -f ../conf/filebeat.conf --config.reload.automatic --path.settings /etc/logstash/logstash.yml
~~~
### 3. input
### 4. filter
#### 4.1 grok
> * grok 建立在正則表達式上的,所以任何的復合規則的正則表達式在grok中也是可用的。
> * logstash在手機日志數據后,都是一條條的記錄,grok可以根據預定義的規則對這些一條條的數據進行切割,形成一個個的類似于鍵值對,這樣利于elasticsearch的收集以及后續的檢索和分析。
822/5000
重新使用Grok模式的語法有三種形式:%{SYNTAX:SEMANTIC},%{SYNTAX},%{SYNTAX:SEMANTIC:TYPE}。
> SYNTAX是與文本匹配的模式的名稱。 例如,3.44將匹配NUMBER模式,55.3.244.1將被IP模式匹配。 語法是如何匹配的。 NUMBER和IP都是默認模式集中提供的模式。
> SEMANTIC是給匹配文本的標識符。 例如,3.44可以是事件的持續時間,所以你可以簡單地稱之為持續時間。 此外,字符串55.3.244.1可能會標識發出請求的客戶端。
> TYPE是您要投射命名字段的類型。 int和float目前是強制支持的唯一類型。
這些類似于正則匹配的規則都有已經logstash預先定義好的用于切割Nginx,Apached,tomcat的日志,在目錄
~~~
/usr/share/logstash/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-4.1.1/patterns/grok-patterns
~~~
這是一個分割Apachelog的filter組件,會根據grok-patterns中定義的規則去匹配日志并切分,例如訪問用戶,ip,瀏覽器類型
~~~
filter {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}"}
}
}
~~~
1. nginx
logstash自帶的grok正則中有Apache的標準日志格式:
~~~
COMMONAPACHELOG %{IPORHOST:clientip} %{HTTPDUSER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-)
COMBINEDAPACHELOG %{COMMONAPACHELOG} %{QS:referrer} %{QS:agent}
~~~
* nginx grok結構化規則
~~~
NGINXLOG %{IP:clientIP}\s*-\s*-\s*\[%{HTTPDATE:timestamp}\]\s*"%{WORD:method}\s*%{URIPATHPARAM:request}\s*HTTP/%{NUMBER:vresion}"\s*(?:%{NUMBER:state}|-)\s*%{NUMBER:size}\s*"-"\s*
~~~
對于nginx標準日志格式,可以發現只是最后多了一個 $http_x_forwarded_for 變量。則nginx標準日志的grok正則定義為:
`MAINNGINXLOG %{COMBINEDAPACHELOG} %{QS:x_forwarded_for}`
* logstash收集并且發送給elasticsearch
~~~
input {
file {
path => ["/var/log/nginx/access.log"]
type => "nginx"
start_position => "beginning"
}
}
filter {
grok {
match => {"message"=> "%{NGINXLOG}"} # 這里引用gork預先定義的
}
}
output {
stdout { codec => rubydebug }
elasticsearch {
hosts => [ "192.168.56.130:9200" ]
user => "elastic用戶"
password => "elasticsearch密碼"
index => "nginx-%{+YYYY.MM.dd}"
}
}
~~~
#### 4.2 使用kibana自定義grok匹配規則
* 使用kibana的開發工具,就像java的RegEx工具一樣
`%{IP:clientIP} `:IP是預定義的匹配規則,clientIP是匹配后分配的field
~~~
%{IP:clientIP}\s*-\s*-\s*\[%{HTTPDATE:timestamp}\]\s*"%{WORD:method}\s*%{URIPATHPARAM:request}\s*HTTP/%{NUMBER:vresion}"\s*(?:%{NUMBER:state}|-)\s*%{NUMBER:size}\s*"-"\s*
~~~
### 5.output
- Docker
- 什么是docker
- Docker安裝、組件啟動
- docker網絡
- docker命令
- docker swarm
- dockerfile
- mesos
- 運維
- Linux
- Linux基礎
- Linux常用命令_1
- Linux常用命令_2
- ip命令
- 什么是Linux
- SELinux
- Linux GCC編譯警告:Clock skew detected. 錯誤解決辦法
- 文件描述符
- find
- 資源統計
- LVM
- Linux相關配置
- 服務自啟動
- 服務器安全
- 字符集
- shell腳本
- shell命令
- 實用腳本
- shell 數組
- 循環與判斷
- 系統級別進程開啟和停止
- 函數
- java調用shell腳本
- 發送郵件
- Linux網絡配置
- Ubuntu
- Ubuntu發送郵件
- 更換apt-get源
- centos
- 防火墻
- 虛擬機下配置網絡
- yum重新安裝
- 安裝mysql5.7
- 配置本地yum源
- 安裝telnet
- 忘記root密碼
- rsync+ crontab
- Zabbix
- Zabbix監控
- Zabbix安裝
- 自動報警
- 自動發現主機
- 監控MySQL
- 安裝PHP常見錯誤
- 基于nginx安裝zabbix
- 監控Tomcat
- 監控redis
- web監控
- 監控進程和端口號
- zabbix自定義監控
- 觸發器函數
- zabbix監控mysql主從同步狀態
- Jenkins
- 安裝Jenkins
- jenkins+svn+maven
- jenkins執行shell腳本
- 參數化構建
- maven區分環境打包
- jenkins使用注意事項
- nginx
- nginx認證功能
- ubuntu下編譯安裝Nginx
- 編譯安裝
- Nginx搭建本地yum源
- 文件共享
- Haproxy
- 初識Haproxy
- haproxy安裝
- haproxy配置
- virtualbox
- virtualbox 復制新的虛擬機
- ubuntu下vitrualbox安裝redhat
- centos配置雙網卡
- 配置存儲
- Windows
- Windows安裝curl
- VMware vSphere
- 磁盤管理
- 增加磁盤
- gitlab
- 安裝
- tomcat
- Squid
- bigdata
- FastDFS
- FastFDS基礎
- FastFDS安裝及簡單實用
- api介紹
- 數據存儲
- FastDFS防盜鏈
- python腳本
- ELK
- logstash
- 安裝使用
- kibana
- 安準配置
- elasticsearch
- elasticsearch基礎_1
- elasticsearch基礎_2
- 安裝
- 操作
- java api
- 中文分詞器
- term vector
- 并發控制
- 對text字段排序
- 倒排和正排索引
- 自定義分詞器
- 自定義dynamic策略
- 進階練習
- 共享鎖和排它鎖
- nested object
- 父子關系模型
- 高亮
- 搜索提示
- Redis
- redis部署
- redis基礎
- redis運維
- redis-cluster的使用
- redis哨兵
- redis腳本備份還原
- rabbitMQ
- rabbitMQ安裝使用
- rpc
- RocketMQ
- 架構概念
- 安裝
- 實例
- 好文引用
- 知乎
- ACK
- postgresql
- 存儲過程
- 編程語言
- 計算機網絡
- 基礎_01
- tcp/ip
- http轉https
- Let's Encrypt免費ssl證書(基于haproxy負載)
- what's the http?
- 網關
- 網絡IO
- http
- 無狀態網絡協議
- Python
- python基礎
- 基礎數據類型
- String
- List
- 遍歷
- Python基礎_01
- python基礎_02
- python基礎03
- python基礎_04
- python基礎_05
- 函數
- 網絡編程
- 系統編程
- 類
- Python正則表達式
- pymysql
- java調用python腳本
- python操作fastdfs
- 模塊導入和sys.path
- 編碼
- 安裝pip
- python進階
- python之setup.py構建工具
- 模塊動態導入
- 內置函數
- 內置變量
- path
- python模塊
- 內置模塊_01
- 內置模塊_02
- log模塊
- collections
- Twisted
- Twisted基礎
- 異步編程初探與reactor模式
- yield-inlineCallbacks
- 系統編程
- 爬蟲
- urllib
- xpath
- scrapy
- 爬蟲基礎
- 爬蟲種類
- 入門基礎
- Rules
- 反反爬蟲策略
- 模擬登陸
- problem
- 分布式爬蟲
- 快代理整站爬取
- 與es整合
- 爬取APP數據
- 爬蟲部署
- collection for ban of web
- crawlstyle
- API
- 多次請求
- 向調度器發送請求
- 源碼學習
- LinkExtractor源碼分析
- 構建工具-setup.py
- selenium
- 基礎01
- 與scrapy整合
- Django
- Django開發入門
- Django與MySQL
- java
- 設計模式
- 單例模式
- 工廠模式
- java基礎
- java位移
- java反射
- base64
- java內部類
- java高級
- 多線程
- springmvc-restful
- pfx數字證書
- 生成二維碼
- 項目中使用log4j
- 自定義注解
- java發送post請求
- Date時間操作
- spring
- 基礎
- spring事務控制
- springMVC
- 注解
- 參數綁定
- springmvc+spring+mybatis+dubbo
- MVC模型
- SpringBoot
- java配置入門
- SpringBoot基礎入門
- SpringBoot web
- 整合
- SpringBoot注解
- shiro權限控制
- CommandLineRunner
- mybatis
- 靜態資源
- SSM整合
- Aware
- Spring API使用
- Aware接口
- mybatis
- 入門
- mybatis屬性自動映射、掃描
- 問題
- @Param 注解在Mybatis中的使用 以及傳遞參數的三種方式
- mybatis-SQL
- 逆向生成dao、model層代碼
- 反向工程中Example的使用
- 自增id回顯
- SqlSessionDaoSupport
- invalid bound statement(not found)
- 脈絡
- beetl
- beetl是什么
- 與SpringBoot整合
- shiro
- 什么是shiro
- springboot+shrio+mybatis
- 攔截url
- 枚舉
- 圖片操作
- restful
- java項目中日志處理
- JSON
- 文件工具類
- KeyTool生成證書
- 兼容性問題
- 開發規范
- 工具類開發規范
- 壓縮圖片
- 異常處理
- web
- JavaScript
- 基礎語法
- 創建對象
- BOM
- window對象
- DOM
- 閉包
- form提交-文件上傳
- td中內容過長
- 問題1
- js高級
- js文件操作
- 函數_01
- session
- jQuery
- 函數01
- data()
- siblings
- index()與eq()
- select2
- 動態樣式
- bootstrap
- 表單驗證
- 表格
- MUI
- HTML
- iframe
- label標簽
- 規范編程
- layer
- sss
- 微信小程序
- 基礎知識
- 實踐
- 自定義組件
- 修改自定義組件的樣式
- 基礎概念
- appid
- 跳轉
- 小程序發送ajax
- 微信小程序上下拉刷新
- if
- 工具
- idea
- Git
- maven
- svn
- Netty
- 基礎概念
- Handler
- SimpleChannelInboundHandler 與 ChannelInboundHandler
- 網絡編程
- 網絡I/O
- database
- oracle
- 游標
- PLSQL Developer
- mysql
- MySQL基準測試
- mysql備份
- mysql主從不同步
- mysql安裝
- mysql函數大全
- SQL語句
- 修改配置
- 關鍵字
- 主從搭建
- centos下用rpm包安裝mysql
- 常用sql
- information_scheme數據庫
- 值得學的博客
- mysql學習
- 運維
- mysql權限
- 配置信息
- 好文mark
- jsp
- jsp EL表達式
- C
- test