Logstash使用grok解析IIS日志
1. 安装配置
安装Logstash前请确认Elasticsearch已经安装正确,参见RedHat6.4安装Elasticsearch5.2.0。
下载链接为:logstash-5.2.0.rpm。
下载完成后,rpm -i logstash-5.2.0.rpm
即可安装。
Logstash默认的配置文件位置为./config
和/etc/logstash/
,后者已经存在,但直接运行依然会报错:
WARNING: Could not find logstash.yml which is typically located in $LS_HOME/config or /etc/logstash. You can specify the path using --path.settings. Continuing using the defaults
Could not find log4j2 configuration at path /usr/share/logstash/config/log4j2.properties. Using default config which logs to console
简单起见,直接在Logstash根目录创建软链接即可:
cd /usr/share/logstash
ln -s /etc/logstash
设置配置文件实时生效,从而不用频繁地启停Logstash。修改/etc/logstash/logstash.yml
:
config.reload.automatic: true
2. 运行
与Elasticsearch、Kibana不同,Logstash默认并不作为系统服务安装,我们也不建议作为服务启动。主要原因为:
- 大多数情况下,Elasticsearch、Kibana在每台服务器上只有一个实例,可以作为服务启动;而一个Logstash实例一般只服务于一个数据流,因此一台服务器上经常运行多个实例;
- Elasticsearch、Kibana是服务器端,而Logstash是客户端。
编写一个配置文件helloworld.conf
进行测试。注意,不要把该文件放在/etc/logstash/conf.d
下,以避免不同实例间产生混淆,因为该文件夹是Logstash默认读取的文件夹。简单起见,可直接放在Logstash根目录下。
input {
stdin {}
}
output {
stdout {}
}
这是一个命令行输入、命令行输出的Logstash实例,运行成功则说明已配置正确:
bin/logstash -f helloworld.conf
虽然如此,很多时候我们还是希望各个Logstash实例能随系统而启动并在后台运行。将其加入计划任务即可:
@reboot nohup /usr/share/logstash/bin/logstash -f /usr/share/logstash/helloworld.conf > /dev/null &
3. grok filter解析IIS日志
Logstash处理日志的核心部分是各种各样的filter插件,其中最强大的是grok。在这里不得不吐槽一下,我工作中最常用的语言是Python,做个网页常用Javascript,最近为了Hadoop家族又把Java捡起来了。而grok filter只支持Ruby,难不成就为这个grok filter还得再学个Ruby……
幸好,grok可以通过自定义正则表达式进行拓展,结合其他基本filter,基本可以解决常见的日志。grok内置的正则表达式位于:/usr/share/logstash/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-4.0.2/patterns/
,可以逐个文件查看,看看有没有可用的正则表达式。
IIS日志的格式举例如下,实际中的字段随IIS服务器的配置而不同:
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Referer)
2010-07-30 01:06:43 192.168.0.102 - 192.168.0.102 80 GET /css/rss.xslt - 304 0 140 358 0 HTTP/1.1 www.mvpboss1004.com Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2;+360SE) -
在grok-patterns
文件中,有我们需要的基本正则表达式。编辑iis
文件,放在patterns
文件夹下:
IIS_LOG %{TIMESTAMP_ISO8601:@timestamp} %{IP:c_ip} %{NOTSPACE:cs_username} %{IP:s_ip} %{NUMBER:s_port} %{WORD:cs_method} %{URIPATH:cs_uri_stem} %{NOTSPACE:cs_uri_query} %{NUMBER:sc_status} %{NUMBER:sc_winstatus} %{NUMBER:sc_bytes} %{NUMBER:cs_bytes} %{NUMBER:time_taken} %{NOTSPACE:cs_version} %{NOTSPACE:cs_host} %{NOTSPACE:cs_useragent} %{NOTSPACE:cs_referer}
通过引用已有的正则表达式,我们可以构建复杂的正则表达式,语法为%{REGEXP:fieldname}
,从而将一条IIS日志解析成17个字段。而且,IIS_LOG这个正则表达式也可以被别的正则表达式引用,只需将其放在patterns文件夹下。
在运行前,可以在grok debugger上调试正则表达式,以确保其正确性。
修改helloworld.conf
:
input {
stdin {
}
}
filter {
grok {
match => { "message" => "%{IIS_LOG}" }
}
}
output {
stdout {
codec => rubydebug
}
}
再次运行并将上述IIS日志样例输入到命令行,可以得到解析结果:
[email protected]700:/usr/share/logstash$ sudo bin/logstash -f helloworld.conf
Sending Logstash‘s logs to /var/log/logstash which is now configured via log4j2.properties
The stdin plugin is now waiting for input:
2010-07-30 01:06:43 192.168.0.102 - 192.168.0.102 80 GET /css/rss.xslt - 304 0 140 358 0 HTTP/1.1 www.mvpboss1004.com Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2;+360SE) -
{
"cs_version" => "HTTP/1.1",
"s_port" => "80",
"cs_method" => "GET",
"s_ip" => "192.168.0.102",
"cs_host" => "www.mvpboss1004.com",
"cs_bytes" => "358",
"cs_useragent" => "Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2;+360SE)",
"cs_uri_stem" => "/css/rss.xslt",
"message" => "2010-07-30 01:06:43 192.168.0.102 - 192.168.0.102 80 GET /css/rss.xslt - 304 0 140 358 0 HTTP/1.1 www.mvpboss1004.com Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+InfoPath.2;+360SE) -",
"c_ip" => "192.168.0.102",
"time_taken" => "0",
"cs_uri_query" => "-",
"sc_status" => "304",
"@timestamp" => 2017-02-09T15:37:19.384Z,
"sc_bytes" => "140",
"@version" => "1",
"host" => "mvpboss1004-MIIX-700",
"cs_username" => "-",
"sc_winstatus" => "0",
"cs_referer" => "-"
}
4. 输出到Elasticsearch
现在已经验证了解析的正确性,我们将输出从stdout改为elasticsearch。生产环境中,还需要考虑以下问题:
- 输出中带有一些Logstash附加的字段,这是我们不一定需要的,需要将其过滤掉;
- message字段是原始的输入日志,我们建议以以下方法进行处理:
- 如果解析正确,把结果放入mvpboss1004这一index,并过滤掉message;
- 如果解析错误,把结果放入failure这一index,保留所有的字段以查找错误原因。
过滤的问题,可以使用mutate filter。条件判断的问题,grok会为解析失败的日志打上_grokparsefailurede的标签,可以利用这一标签判断是否进行过滤及输出的index。修改helloworld.conf
:
input {
stdin {
}
}
filter {
grok {
match => { "message" => "%{IIS_LOG}" }
}
if !([tags] and "_grokparsefailure" in [tags]) {
mutate {
remove_field => ["message", "@version", "host"]
}
}
}
output {
if [tags] and "_grokparsefailure" in [tags] {
elasticsearch {
hosts => ["99.1.36.164"]
index => "failure"
document_type => "iislog"
}
} else {
elasticsearch {
hosts => ["99.1.36.164"]
index => "mvpboss1004"
document_type => "iislog"
}
}
}
5. 一些疑问
由于资料太少,还有些坑我至今仍不清楚原因。最大的困惑就是Logstash各个filter之间生效的顺序问题。
例如,grok本身具备过滤字段的功能,但如果采用网上的例子,filter会在正则表达式解析前就把message字段过滤掉,导致解析失败:
filter {
grok {
match => { "message" => "%{IIS_LOG}" }
remove_field => ["message"]
}
}
不光grok,大多数filter都具备过滤字段的功能,但如果不是mutate filter,一样会在正则表达式解析前就把message字段过滤掉,比如json filter:
filter {
grok {
match => { "message" => "%{IIS_LOG}" }
}
json {
remove_field => ["message"]
}
}
但只要使用mutate filter就没问题:
filter {
grok {
match => { "message" => "%{IIS_LOG}" }
}
mutate {
remove_field => ["message"]
}
}
这还是一个简单的例子,多个filter、每个filter内多个字段时,就更乱了。如果你知道原因,请务必留言告诉我,非常感谢。