[TOC]
# logstash
* * * * *
### 1. 安装
安装deb就行
安装插件:无论是elasticsearch还是kibana,安装插件都有两种方法:离线,在线命令安装
> 1. 离线下载插件解压后,放到对应的elasticsearch或者kibana的plugins目录下,重启服务即可,
> 例如在安装 x-pack,需要在elasticsearch安装,也需要在kibana安装,在kibana用命令安装特别慢,所以用下载好的压缩文件,解压后直接放入/usr/share/kibana/plugins(kibana安装目录)下,重启即可,重启第一次需要登录名密码elastic/changeme
### 2.使用
#### 2.1 filebeat、logstash、elasticsearch
1. 开启服务
~~~
bin/logstash –f apache.config --config.reload.automatic
# --config.reload.automatic:自动读取配置文件,并重启
~~~
> 如果启动时没有加入自动读取配置文件选项,输入一下命令,发送信号量让logstash读取配置文件,并且重启pipeline(管道)
~~~
kill -1 14175 # 给这个进程id14175,发送信号量
~~~
2. 配置logstash文件
~~~
input {
beats {
port => "5043" # 指定从filebeat获取数据,并监听5043端口
}
}
filter {
grok { # 将日志按列分开
match => { "message" => "%{COMBINEDAPACHELOG}"}
}
geoip { # 会根据IP得到这个IP的所在地理位置信息
source => "clientip"
}
}
output {
stdout { codec => rubydebug }
elasticsearch { # 定义输出到elasticsearch中
hosts => [ "192.168.56.131:9200" ]
}
}
~~~
2. 配置filebeat
* 安装deb就行
~~~
vim /etc/filebeat/filebeat.yml
# 做以下修改
- input_type: log
# Paths that should be crawled and fetched. Glob based paths.
paths:
- /home/tuna/test/logstash-tutorial-dataset #指定logstash监控的文件
output.logstash: # 监控结果发送到logstash
# Array of hosts to connect to.
hosts: ["192.168.56.131:5043"] # 指定logstash的地址和规定filebeat监听的端口
~~~
> 开启filebeat
~~~
sudo ./filebeat -e -c filebeat.yml -d "publish"
~~~
> 如果想要filebeat重新读一遍所监听的文件或者目录需要:
> 1. 关闭filebeat
> 2. 删除data目录下的registry文件
> 3. 启动filebeat
#### 2.2 logstash 直接监控本地文件
* logstash会监控文件的变化,并且把读取文件的位置信息记录在目录
`/usr/share/logstash/data/plugins/inputs/file`
默认记录文件时隐藏的。详细信息在elasticsearch-logstash-inputplugin中找
想要重新读,停止logsstash,并删除file目录下的记录(ll一下,默认是隐藏的),然后在重启logstash
~~~
input {
file {
path => ["/home/tuna/test/test.txt","/var/log/redis/redis6379.log"]
type => "system"
start_position => "beginning"
}
}
filter {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}"}
}
}
output {
stdout { codec => rubydebug }
elasticsearch {
hosts => [ "192.168.56.131:9200" ]
}
}
~~~
> * 启动
~~~
./logstash -f ../conf/filebeat.conf --config.reload.automatic --path.settings /etc/logstash/logstash.yml
~~~
### 3. input
### 4. filter
#### 4.1 grok
> * grok 建立在正则表达式上的,所以任何的复合规则的正则表达式在grok中也是可用的。
> * logstash在手机日志数据后,都是一条条的记录,grok可以根据预定义的规则对这些一条条的数据进行切割,形成一个个的类似于键值对,这样利于elasticsearch的收集以及后续的检索和分析。
822/5000
重新使用Grok模式的语法有三种形式:%{SYNTAX:SEMANTIC},%{SYNTAX},%{SYNTAX:SEMANTIC:TYPE}。
> SYNTAX是与文本匹配的模式的名称。 例如,3.44将匹配NUMBER模式,55.3.244.1将被IP模式匹配。 语法是如何匹配的。 NUMBER和IP都是默认模式集中提供的模式。
> SEMANTIC是给匹配文本的标识符。 例如,3.44可以是事件的持续时间,所以你可以简单地称之为持续时间。 此外,字符串55.3.244.1可能会标识发出请求的客户端。
> TYPE是您要投射命名字段的类型。 int和float目前是强制支持的唯一类型。
这些类似于正则匹配的规则都有已经logstash预先定义好的用于切割Nginx,Apached,tomcat的日志,在目录
~~~
/usr/share/logstash/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-4.1.1/patterns/grok-patterns
~~~
这是一个分割Apachelog的filter组件,会根据grok-patterns中定义的规则去匹配日志并切分,例如访问用户,ip,浏览器类型
~~~
filter {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}"}
}
}
~~~
1. nginx
logstash自带的grok正则中有Apache的标准日志格式:
~~~
COMMONAPACHELOG %{IPORHOST:clientip} %{HTTPDUSER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-)
COMBINEDAPACHELOG %{COMMONAPACHELOG} %{QS:referrer} %{QS:agent}
~~~
* nginx grok结构化规则
~~~
NGINXLOG %{IP:clientIP}\s*-\s*-\s*\[%{HTTPDATE:timestamp}\]\s*"%{WORD:method}\s*%{URIPATHPARAM:request}\s*HTTP/%{NUMBER:vresion}"\s*(?:%{NUMBER:state}|-)\s*%{NUMBER:size}\s*"-"\s*
~~~
对于nginx标准日志格式,可以发现只是最后多了一个 $http_x_forwarded_for 变量。则nginx标准日志的grok正则定义为:
`MAINNGINXLOG %{COMBINEDAPACHELOG} %{QS:x_forwarded_for}`
* logstash收集并且发送给elasticsearch
~~~
input {
file {
path => ["/var/log/nginx/access.log"]
type => "nginx"
start_position => "beginning"
}
}
filter {
grok {
match => {"message"=> "%{NGINXLOG}"} # 这里引用gork预先定义的
}
}
output {
stdout { codec => rubydebug }
elasticsearch {
hosts => [ "192.168.56.130:9200" ]
user => "elastic用户"
password => "elasticsearch密码"
index => "nginx-%{+YYYY.MM.dd}"
}
}
~~~
#### 4.2 使用kibana自定义grok匹配规则
* 使用kibana的开发工具,就像java的RegEx工具一样
`%{IP:clientIP} `:IP是预定义的匹配规则,clientIP是匹配后分配的field
~~~
%{IP:clientIP}\s*-\s*-\s*\[%{HTTPDATE:timestamp}\]\s*"%{WORD:method}\s*%{URIPATHPARAM:request}\s*HTTP/%{NUMBER:vresion}"\s*(?:%{NUMBER:state}|-)\s*%{NUMBER:size}\s*"-"\s*
~~~
### 5.output
- Docker
- 什么是docker
- Docker安装、组件启动
- docker网络
- docker命令
- docker swarm
- dockerfile
- mesos
- 运维
- Linux
- Linux基础
- Linux常用命令_1
- Linux常用命令_2
- ip命令
- 什么是Linux
- SELinux
- Linux GCC编译警告:Clock skew detected. 错误解决办法
- 文件描述符
- find
- 资源统计
- LVM
- Linux相关配置
- 服务自启动
- 服务器安全
- 字符集
- shell脚本
- shell命令
- 实用脚本
- shell 数组
- 循环与判断
- 系统级别进程开启和停止
- 函数
- java调用shell脚本
- 发送邮件
- Linux网络配置
- Ubuntu
- Ubuntu发送邮件
- 更换apt-get源
- centos
- 防火墙
- 虚拟机下配置网络
- yum重新安装
- 安装mysql5.7
- 配置本地yum源
- 安装telnet
- 忘记root密码
- rsync+ crontab
- Zabbix
- Zabbix监控
- Zabbix安装
- 自动报警
- 自动发现主机
- 监控MySQL
- 安装PHP常见错误
- 基于nginx安装zabbix
- 监控Tomcat
- 监控redis
- web监控
- 监控进程和端口号
- zabbix自定义监控
- 触发器函数
- zabbix监控mysql主从同步状态
- Jenkins
- 安装Jenkins
- jenkins+svn+maven
- jenkins执行shell脚本
- 参数化构建
- maven区分环境打包
- jenkins使用注意事项
- nginx
- nginx认证功能
- ubuntu下编译安装Nginx
- 编译安装
- Nginx搭建本地yum源
- 文件共享
- Haproxy
- 初识Haproxy
- haproxy安装
- haproxy配置
- virtualbox
- virtualbox 复制新的虚拟机
- ubuntu下vitrualbox安装redhat
- centos配置双网卡
- 配置存储
- Windows
- Windows安装curl
- VMware vSphere
- 磁盘管理
- 增加磁盘
- gitlab
- 安装
- tomcat
- Squid
- bigdata
- FastDFS
- FastFDS基础
- FastFDS安装及简单实用
- api介绍
- 数据存储
- FastDFS防盗链
- python脚本
- ELK
- logstash
- 安装使用
- kibana
- 安准配置
- elasticsearch
- elasticsearch基础_1
- elasticsearch基础_2
- 安装
- 操作
- java api
- 中文分词器
- term vector
- 并发控制
- 对text字段排序
- 倒排和正排索引
- 自定义分词器
- 自定义dynamic策略
- 进阶练习
- 共享锁和排它锁
- nested object
- 父子关系模型
- 高亮
- 搜索提示
- Redis
- redis部署
- redis基础
- redis运维
- redis-cluster的使用
- redis哨兵
- redis脚本备份还原
- rabbitMQ
- rabbitMQ安装使用
- rpc
- RocketMQ
- 架构概念
- 安装
- 实例
- 好文引用
- 知乎
- ACK
- postgresql
- 存储过程
- 编程语言
- 计算机网络
- 基础_01
- tcp/ip
- http转https
- Let's Encrypt免费ssl证书(基于haproxy负载)
- what's the http?
- 网关
- 网络IO
- http
- 无状态网络协议
- Python
- python基础
- 基础数据类型
- String
- List
- 遍历
- Python基础_01
- python基础_02
- python基础03
- python基础_04
- python基础_05
- 函数
- 网络编程
- 系统编程
- 类
- Python正则表达式
- pymysql
- java调用python脚本
- python操作fastdfs
- 模块导入和sys.path
- 编码
- 安装pip
- python进阶
- python之setup.py构建工具
- 模块动态导入
- 内置函数
- 内置变量
- path
- python模块
- 内置模块_01
- 内置模块_02
- log模块
- collections
- Twisted
- Twisted基础
- 异步编程初探与reactor模式
- yield-inlineCallbacks
- 系统编程
- 爬虫
- urllib
- xpath
- scrapy
- 爬虫基础
- 爬虫种类
- 入门基础
- Rules
- 反反爬虫策略
- 模拟登陆
- problem
- 分布式爬虫
- 快代理整站爬取
- 与es整合
- 爬取APP数据
- 爬虫部署
- collection for ban of web
- crawlstyle
- API
- 多次请求
- 向调度器发送请求
- 源码学习
- LinkExtractor源码分析
- 构建工具-setup.py
- selenium
- 基础01
- 与scrapy整合
- Django
- Django开发入门
- Django与MySQL
- java
- 设计模式
- 单例模式
- 工厂模式
- java基础
- java位移
- java反射
- base64
- java内部类
- java高级
- 多线程
- springmvc-restful
- pfx数字证书
- 生成二维码
- 项目中使用log4j
- 自定义注解
- java发送post请求
- Date时间操作
- spring
- 基础
- spring事务控制
- springMVC
- 注解
- 参数绑定
- springmvc+spring+mybatis+dubbo
- MVC模型
- SpringBoot
- java配置入门
- SpringBoot基础入门
- SpringBoot web
- 整合
- SpringBoot注解
- shiro权限控制
- CommandLineRunner
- mybatis
- 静态资源
- SSM整合
- Aware
- Spring API使用
- Aware接口
- mybatis
- 入门
- mybatis属性自动映射、扫描
- 问题
- @Param 注解在Mybatis中的使用 以及传递参数的三种方式
- mybatis-SQL
- 逆向生成dao、model层代码
- 反向工程中Example的使用
- 自增id回显
- SqlSessionDaoSupport
- invalid bound statement(not found)
- 脉络
- beetl
- beetl是什么
- 与SpringBoot整合
- shiro
- 什么是shiro
- springboot+shrio+mybatis
- 拦截url
- 枚举
- 图片操作
- restful
- java项目中日志处理
- JSON
- 文件工具类
- KeyTool生成证书
- 兼容性问题
- 开发规范
- 工具类开发规范
- 压缩图片
- 异常处理
- web
- JavaScript
- 基础语法
- 创建对象
- BOM
- window对象
- DOM
- 闭包
- form提交-文件上传
- td中内容过长
- 问题1
- js高级
- js文件操作
- 函数_01
- session
- jQuery
- 函数01
- data()
- siblings
- index()与eq()
- select2
- 动态样式
- bootstrap
- 表单验证
- 表格
- MUI
- HTML
- iframe
- label标签
- 规范编程
- layer
- sss
- 微信小程序
- 基础知识
- 实践
- 自定义组件
- 修改自定义组件的样式
- 基础概念
- appid
- 跳转
- 小程序发送ajax
- 微信小程序上下拉刷新
- if
- 工具
- idea
- Git
- maven
- svn
- Netty
- 基础概念
- Handler
- SimpleChannelInboundHandler 与 ChannelInboundHandler
- 网络编程
- 网络I/O
- database
- oracle
- 游标
- PLSQL Developer
- mysql
- MySQL基准测试
- mysql备份
- mysql主从不同步
- mysql安装
- mysql函数大全
- SQL语句
- 修改配置
- 关键字
- 主从搭建
- centos下用rpm包安装mysql
- 常用sql
- information_scheme数据库
- 值得学的博客
- mysql学习
- 运维
- mysql权限
- 配置信息
- 好文mark
- jsp
- jsp EL表达式
- C
- test