博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
elk---日志收集
阅读量:5845 次
发布时间:2019-06-18

本文共 2740 字,大约阅读时间需要 9 分钟。

语法格式

logstash中行为事件,流程:事件---input---codec---filter---codec----output

input{    #注释       stdin{         }}    #可以不用写filter{}output{       elasticsearch{            hosts => ["ip:9200"]                index = "test-%{+YYYY.DD.mm}"         }         stdout{            codec => "rubydebug"         }}

rsyslog日志收集

input{   file{          path => ["/var/log/messages","/var/log/secure"]                type => "system-log"                start_postition => "beginning"     } } filter{}output{  elasticsearch{                       hosts => ["ip:9200"]                                     index => "system-log-%{+YYYY.MM}"        }}

es 日志收集

input{   file{          path => ["/var/log/messages","/var/log/secure"]                type => "system-log"                start_postition => "beginning"         file{                    path => "/var/log/elasticsearch/es.log"                    type => "es-log"                    start_postition => "beginning"                    codec => multiline{                            pattern =>"^\["                                    negate => true                                    what => "previous"                    }          syslog{               type => "system-syslog"                 port => 514            }         }     } } filter{}output{         if [type]=="system-log"{             elasticsearch{                       hosts => ["ip:9200"]                                     index => "system-log-%{+YYYY.MM}"        }        }         if [type]=="es-log"{             elasticsearch{                       hosts => ["ip:9200"]                                     index => "system-log-%{+YYYY.MM}"        }        }        if [type]=="system-syslog"{             elasticsearch{                       hosts => ["ip:9200"]                                     index => "system-syslog-%{+YYYY.MM}"        }        }        stdout{          codec => "rubydebug"        }}

tcp 日志收集

input{   tcp{             type => "tcp"                 port => "6666"                 mode => "server"         }} output{   stdout{           codec => rubydebug         } }

filter插件grok学习

55.3.244.1 GET /index.html 15824 0.043%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}

收集tomcat Apache日志

input{file {    path => "/var/log/access_log"    typ =>"access_log"    start_postition => "beginning"    }}   filter{ grok{     match =>{ "messages" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" }       }     }}output{ elasticsearch{             hosts => ["ip:9200"]                     index => "access_log-%{+YYYY.DD.mm}"     } stdout{             codec => "rubydebug"     }}

grok 很耗费性能。一般不这样用。

转载于:https://blog.51cto.com/5776643/2385538

你可能感兴趣的文章
自己动手搭建webpack
查看>>
centos安装mysql
查看>>
我终于搞清楚了和String有关的那点事儿。
查看>>
Android AIDL浅析及异步使用
查看>>
【前端工程师手册】JavaScript之作用域
查看>>
深入ES6:let和const
查看>>
Redux 的简单总结
查看>>
Java线程池
查看>>
ReactNative-HMR原理探索
查看>>
「Odoo 基础教程系列」第一篇——环境准备
查看>>
使用腾讯云“自定义监控”监控GPU使用率
查看>>
ios开发
查看>>
Node.js EventEmitter类源码浅析
查看>>
Android列表,嵌套滑动
查看>>
30-seconds-code ——utility集合
查看>>
VUE使用element-ui的upload组件自定义文件列表
查看>>
挑战App Store,微信通过“跳一跳”秀了一下“小程序”的肌肉
查看>>
技术存档:建站(一)
查看>>
JavaScript prototype 疑惑
查看>>
elasticsearch支持类似与sql语句的查询表达式
查看>>