日志监控_ElasticStack-0003.Logstash输入插件及实际生产案例应用?

新版插件:


说明: 从5.0开始,插件都独立拆分成gem包,每个插件可独立更新,无需等待Logstash自身整体更新,具体管理命令可参考./bin/logstash-plugin --help帮助信息../bin/logstash-plugin list其实所有的插件就位于本地./vendor/bundle/jruby/1.9/gems/目录下

扩展: 如果GitHub上面(https://github.com/logstash-plugins/)发布了扩展插件,可通过./bin/logstash-plugin install <plugin-name>,当然升级也很方便./bin/logstash-plugin update <plugin-name>,如果要安装更新本地已有的插件可通过./bin/logstash-plugin install/update <plugin-path>即可.

注意: 默认./bin/logstash-plugin install/update时是到https://rubygems.org/下载包,速度非常慢,所以强烈推荐手动从https://github.com/logstash-plugins/https://rubygems.org/下载下来更新

输入插件: https://www.elastic.co/guide/en/logstash/current/input-plugins.html


说明: 输入插件只用于input区段中,可以通过不同的方式来采集数据,如上为目前Logstash支持的所有输入插件.


插件名称: udp (https://www.elastic.co/guide/en/logstash/current/plugins-inputs-udp.html)

input {
    udp {
        port => 25826
        workers => 2
        queue_size => 20000
        buffer_size => 1452
        codec => collectd { }
        type => "collectd"
    }
}
output{
    stdout{
        codec => rubydebug
    }
}

生产案例:

yum -y install collectd*
cp -rfp /etc/collectd.conf /etc/collectd.conf_org
vim /etc/collectd.conf
# Collectd基础信息采集配置
Hostname    "xm-server-00001"
FQDNLookup  false
LoadPlugin  df
LoadPlugin  cpu
LoadPlugin  disk
LoadPlugin  memory
LoadPlugin  network
<Plugin network>
    Server "10.2.5.51" "25826"
</Plugin>
LoadPlugin  interface
<Plugin interface>
    Interface "eth0"
    IgnoreSelected false
</Plugin>
Include "/etc/collectd.d"

说明: 如上是Logstash Udp插件的生产案例,Logstash配置文件中udp区段port表示监听的udp端口,workers表示读取socket数据的线程数,一般设置为CPU个数即可,queue_size表示udp包可堆积在内存中个数,buffer_size表示读取缓冲区最大大小,codec 表示编码器,type表示手工定义的类型,可用于filter区段中以及后面前端Kibana检索


插件名称: file (https://www.elastic.co/guide/en/logstash/current/plugins-inputs-file.html)

input {
    file {
        path => ["/xm-workspace/xm-webs/xmcloud/logs/*.log"]
        type => "dss-pubserver"
codec => json
        start_position => "beginning"
    }
}
output{
    stdout{
        codec => rubydebug
    }
}

生产案例:

log_format json ‘{"@timestamp":"$time_iso8601",‘
                 ‘"host":"$server_addr",‘
                 ‘"clientip":"$remote_addr",‘
                 ‘"size":$body_bytes_sent,‘
                 ‘"responsetime":$request_time,‘
                 ‘"upstreamtime":"$upstream_response_time",‘
                 ‘"upstreamhost":"$upstream_addr",‘
                 ‘"http_host":"$host",‘
                 ‘"url":"$uri",‘
                 ‘"xff":"$http_x_forwarded_for",‘
                 ‘"referer":"$http_referer",‘
                 ‘"agent":"$http_user_agent",‘
                 ‘"status":"$status"}‘;

说明: 分析网站/接口访问日志时可监听匹配日志文件,同时会生成.sincedb数据库文件,记录被监听文件的inode/major/minor/position,file区段中还支持delimiter表示行分割符,discover_interval表示检查是否有新文件频率,默认15秒,exclude表示排除监听的匹配列表,close_older表示多久没修改就关闭监听句柄,默认3600秒,ignore_older表示只检查多久内的文件,默认86400,sincedb_path表示sincedb存放位置,默认位于(Linux: $HOME/.,sincedb | Windows: C:\Windows\System32\config\systemprofile\.sincedb),sincedb_write_interval表示多久写一次sincedb,默认为15秒,stat_interval为每隔多久检查一次被监听的文件状态,默认为1秒,start_position表示从什么位置读取文件数据,默认为结束位置,类似tail -f,当然也可设定beginning从头读取.

注意: 通常导入原有数据进Elasticsearch前需通过filter/date插件规范默认的@timestamp字段值,file插件并不支持递归监视,如果有需求可以数组形式匹配,支持/path/to/*/*/*/*.log写法,如果需要反复测试可将sincedb_path定义为/dev/null,这样每次重启都会自动从头开始读,还有一点儿需要注意的是Windows由于没有inode概念,所以监听文件不靠谱,推荐使用nxlog作为收集端.


插件名称: stdin (https://www.elastic.co/guide/en/logstash/current/plugins-inputs-stdin.html)

input {
    stdin {
        codec => json
        tags => ["dss-pubserver"]
        type => "stdin"
        add_field => {
            "runenv" => "docker"
        }
    }
}
output{
    stdout{
        codec => rubydebug
    }
}

生产案例:

{"status": "", "content_length": "", "body_bytes_sent": "", "http_x_forwarded_for": "", "request_time": "", "errors": {"text": "res body is invalid protocol format args", "line": 128, "func": "process_msg()", "file": "dsspub-server.lua"}, "request_body": "", "http_referer": "", "level": "", "hostname": "", "request": "", "remote_addr": "", "upstream_response_time": "", "time_local": "", "upstream_addr": ""}

说明: type和tags是Logstash事件中两个特殊的字段,通常会在输入区段中来标记事件类型,然后在数据处理区域根据事件类型来调用插件处理消息或添加删除tags,最后在输出中通过tags来判断并选择输出


插件名称: syslog(https://www.elastic.co/guide/en/logstash/current/plugins-inputs-syslog.html)

input {
    syslog {
        port => "6514"
    }
}
output{
    stdout{
        codec => rubydebug
    }
}

生产案例:

vim /etc/rsyslog.conf 
*.*                                                     @@127.0.0.1:6514

说明: syslog在收集网络设备端日志时也许是几乎唯一可行办法,简单测试只需修改/etc/rsyslog.conf配置,加入网络传输支持,发送到本地的Logstash监听端口6514,默认接收过滤操作都在input中完成,虽然启动时可通过-w指定worker数但是同一个客户端数据的处理以及过滤都在同一个线程中完成,导致处理性能严重下降,如果使用udp+grok的match的%{SYSLOGLINE}和syslog_pri实现,虽然将input和grok拆分拆分到两个线程,但udp接收缓冲区有限制(netstat -plnu | awk ‘NR==1 || $4~/:514$/{print $2}‘),当大于228096时就开始丢包,所以还是推荐使用tcp方式

扩展: 如果实在没法切换到tcp协议,可通过这个小工具来实现异步IO的UDP监听数据输入写入Elasticsearch(https://gist.github.com/chenryn/7c922ac424324ee0d695)


插件名称: tcp(https://www.elastic.co/guide/en/logstash/current/plugins-inputs-tcp.html)

input {
    tcp {
        port => "8888"
        mode => "server"
        ssl_enable => false
    }
}
output{
    stdout{
        codec => rubydebug
    }
}

生产实例:

nc 127.0.0.1 8888 < error.log

说明: Logstash也可通过Tcp组件实现简单消息队列,但千万别用于生产环境,生产环境还是换用专业的Logstash broker,比较常用的就是配合nc实现旧数据导入,这种导入旧数据的方式相比file好处在于可以准确的知道何时导入完成.

时间: 2024-10-22 17:07:12

日志监控_ElasticStack-0003.Logstash输入插件及实际生产案例应用?的相关文章

日志监控_ElasticStack-0002.Logstash编码插件及实际生产案例应用?

新版插件: 说明: 从5.0开始,插件都独立拆分成gem包,每个插件可独立更新,无需等待Logstash自身整体更新,具体管理命令可参考./bin/logstash-plugin --help帮助信息../bin/logstash-plugin list其实所有的插件就位于本地./vendor/bundle/jruby/1.9/gems/目录下 扩展: 如果GitHub上面(https://github.com/logstash-plugins/)发布了扩展插件,可通过./bin/logstas

了解Logstash输入插件

输入插件是Logstash从特定的数据源读取数据,Logstash可用插件包括,详情可见这里,下面说一些常见的输入插件: stdin插件:标准的输入插件,能够从命令行中读取事件. 可选配置: add_field    hash(哈希)   {} codec         codec             "line" tags            array(数组) type            string(字符串) file插件:Logstash 使用一个名叫 FileWa

第三章 logstash - 输入插件之tcp与redis

常用的输入插件: tcp redis 一.tcp 1.用法 1 input { 2 tcp { 3 port => 4560 4 codec => json_lines 5 mode => server 6 host => 0.0.0.0 7 add_field => {"xxx":"xxx"} 8 ssl_cert => /xxx 9 ssl_enable => false 10 ssl_extra_chain_certs

logstash常用插件解析

官方地址:https://www.elastic.co/guide/en/logstash-versioned-plugins/current/index.html 配置文件写法: # 日志导入input {}# 日志筛选匹配处理filter {}# 日志匹配输出output {} 日志解析配置文件的框架共分为三个模块,input,output,filter.后面会一一讲解, 每个模块里面存在不同的插件. input 模块 列子1 # file为常用文件插件,插件内选项很多,可根据需求自行判断i

Logstash实践: 分布式系统的日志监控

转自:http://www.jianshu.com/p/6575041b597d 1. 前言 服务端日志你有多重视? 我们没有日志 有日志,但基本不去控制需要输出的内容 经常微调日志,只输出我们想看和有用的 经常监控日志,一方面帮助日志微调,一方面及早发现程序的问题 只做到第1点的,你可以洗洗去睡了.很多公司都有做到第2点和第3点,这些公司的服务端程序基本已经跑了很长时间了,已比较稳定,确实无需花太多时间去关注.如果一个新产品,在上线初期,我觉得就有必要做到第4点. 日志怎么看? 都说了,我们没

ELK统一日志管理平台第三篇-logstash grok插件的使用

1. ELK统一日志管理平台第三篇-logstash grok插件的使用   在本篇博文中,主要讲解如下几个知识点和实践经验,供大家参考:   1. 关于JAVA应用程序的日志内容标准规范:   2. 如何使用logstash的grok插件来完成message字段的拆分:   3. 定时删除Es的索引: 1. 关于JAVA应用程序的日志内容标准规范:   最近公司一直在主推ELK这个项目,而我是ELK这个项目的运维人员.所以针对ELK项目会有很多经验输出:由于我们公司的业务系统以JAVA语言开发

日志监控_ElasticStack5-0001.Logstash快速规范化部署与后台运行?

技术栈线: 1. 支持灵活的处理方式,Elasticsearch是实时全文索引,无需像其它的产品样预先编程才能实现 2. 支持简单的配置方式,Elasticsearch是全部采用JSON接口,Logstash是Ruby DSL设计,都是通用配置语法 3. 支持高效的数据检索,虽然每次查询都是实时计算,但基本上可以实现全天数据查询的秒级响应 4. 支持方便的线性扩展,不管是Elasticsearch集群还是Logstash集群都可以线性扩展 4. 支持绚丽的前端展示,Kibana界面上只需要点击鼠

CENTOS6.5安装日志分析ELK elasticsearch + logstash + redis + kibana

1.日志平台的工作流程 多个独立的agent(Shipper)负责收集不同来源的数据,一个中心agent(Indexer)负责汇总和分析数据,在中心agent前的Broker(使用redis实现)作为缓冲区,中心agent后的ElasticSearch用于存储和搜索数据,前端的Kibana提供丰富的图表展示. Shipper表示日志收集,使用LogStash收集各种来源的日志数据,可以是系统日志.文件.redis.mq等等: Broker作为远程agent与中心agent之间的缓冲区,使用red

Logstash的插件

Logstash的插件: input插件: File:从指定的文件中读取事件流: 使用FileWatch(Ruby Gem库)监听文件的变化. .sincedb:记录了每个被监听的文件的inode, major number, minor nubmer, pos; 一下是一个收集日志简单的示例: input { file { path => ["/var/log/messages"] type => "system" start_position =&g