Logstash filter插件開發(fā)

Logstash是一個具有實時管線能力的開源數據收集引擎忍法。在ELK Stack中逞力,通常選擇更輕量級的Filebeat收集日志啦吧,然后將日志輸出到Logstash進行加工處理绿店,再將處理后的日志輸出到指定的目標(ElasticSearch妙痹,Kafka等)當中铸史。
Logstash事件的處理管線是inputs → filters → outputs,三個階段都可以自定義插件细诸,本文主要介紹如何開發(fā)自定義需求最多的filter插件沛贪。
Logstash的安裝就不詳細介紹了,下載傳送門:https://www.elastic.co/downloads/logstash震贵。

生成filter插件

cd到Logstash的跟目錄,使用bin/logstash-plugin生成filter插件模板水评,如下:

bin/logstash-plugin generate --type filter --name test  --path vendor/localgems

vendor/localgems可修改為你自己的路徑猩系。
查看filter插件的目錄結構,如下:

$ tree logstash-filter-test
├── Gemfile
├── LICENSE
├── README.md
├── Rakefile
├── lib
│   └── logstash
│       └── filters
│           └── test.rb
├── logstash-filter-test.gemspec
└── spec
    └── filters
        └── test_spec.rb
    └── spec_helper.rb

filter插件初探

代碼結構

Logstash插件是用ruby寫的中燥,查看lib/logstash/filters/test.rb文件寇甸,如下:

# encoding: utf-8
require "logstash/filters/base"
require "logstash/namespace"

# This  filter will replace the contents of the default 
# message field with whatever you specify in the configuration.
#
# It is only intended to be used as an .
class LogStash::Filters::Test < LogStash::Filters::Base

  # Setting the config_name here is required. This is how you
  # configure this filter from your Logstash config.
  #
  # filter {
  #    {
  #     message => "My message..."
  #   }
  # }
  #
  config_name "test"
  
  # Replace the message with this value.
  config :message, :validate => :string, :default => "Hello World!"
  

  public
  def register
    # Add instance variables 
  end # def register

  public
  def filter(event)

    if @message
      # Replace the event message with our message as configured in the
      # config file.
      event.set("message", @message)
    end

    # filter_matched should go in the last line of our successful code
    filter_matched(event)
  end # def filter
end # class LogStash::Filters::Test

UTF-8編碼

Logstash依賴于UTF-8編碼,需要在插件代碼開始出添加:

# encoding: utf-8

require

模板代碼里面默認require"logstash/filters/base""logstash/namespace",如果需要依賴其它代碼或者gems就在這添加拿霉,可以參考后面在插件中查詢MySql的代碼吟秩。

插件名稱配置

插件名稱配置代碼如下:

config_name "test"

test就是插件名稱,在Logstash配置的filter塊中使用绽淘。

插件參數配置

插件參數配置代碼如下:

config :message, :validate => :string, :default => "Hello World!"

message是插件test的可選參數涵防,默認值是"Hello World!"。下面是參數的通用配置代碼:

config :variable_name, :validate => :variable_type, :default => "Default value", :required => boolean, :deprecated => boolean, :obsolete => string
  • :variable_name:參數名稱
  • :validate:驗證參數類型沪铭,如:string, :password, :boolean, :number, :array, :hash, :path
  • :required:是否必須配置
  • :default:默認值
  • :deprecated:是否廢棄
  • :obsolete:聲明該配置不再使用壮池,通常提供升級方案

插件方法

Logstash插件必須實現兩個方法:registerfilter
register方法代碼如下:

  public
  def register
    # Add instance variables 
  end # def register

register方法相當于初始化方法杀怠,不需要手動調用椰憋,可以在這個方法里面調用配置變量,如@message赔退,也可以初始化自己的實例變量橙依。
filter方法代碼如下:

  public
  def filter(event)

    if @message
      # Replace the event message with our message as configured in the
      # config file.
      event.set("message", @message)
    end

    # filter_matched should go in the last line of our successful code
    filter_matched(event)
  end # def filter

filter方法是插件的數據處理邏輯,其中event變量封裝了數據流硕旗,可以通過接口訪問event中的內容票编,具體參見https://www.elastic.co/guide/en/logstash/5.1/event-api.html。最后一句調用了filter_matched卵渴,這個方法用于保證Logstash的配置add_field, remove_field, add_tagremove_tag會被正確執(zhí)行慧域。

在插件中使用其它類庫

這里以在插件中查詢MySql為例進行說明,使用jdbc操作MySql浪读,需要安裝jdbc-mysql昔榴,操作如下:
添加Logstash的環(huán)境變量:

export LOGSTASH_HOME=/opt/logstash-5.2.1
export PATH=$PATH:$LOGSTASH_HOME/vendor/jruby/bin

安裝jdbc-mysql

gem install jdbc-mysql

使用sequel(代碼和文檔請查看vendor/bundle/jruby/1.9/gems/sequel-4.43.0)操作MySql,首先需要在logstash-filter-test.gemspec配置文件中添加對sequel的依賴碘橘,如下:

# Gem dependencies
s.add_runtime_dependency "logstash-core-plugin-api", "~> 2.0"
s.add_runtime_dependency 'sequel'
s.add_development_dependency 'logstash-devutils'

然后在test.rbrequire相關代碼:

require "sequel"
require "sequel/adapters/jdbc"

test.rb中添加:jdbc_driver_library配置參數互订,用于配置jdbc驅動庫的path,我這的路徑是"/usr/local/lib/ruby/gems/2.3.0/gems/jdbc-mysql-5.1.40/lib/mysql-connector-java-5.1.40-bin.jar"痘拆。

config :jdbc_driver_library, :validate => :string, :required => true

register方法中做了兩件事仰禽,一是初始化了幾個實例變量,二是require依賴的jdbc庫纺蛆。簡單說明下實例變量的用途吐葵,@logger用于輸出日志,@connection_retry_attempts@connection_retry_attempts_wait_time用于數據庫連接重試桥氏,@connection_wait_timeout用于設置MySql的session超時時間温峭,避免與MySql連接過多,這是一個雙保險策略字支,正常情況下MySql會設置全局的超時時間凤藏,并且查詢完成之后我們會主動斷開連接(見fetch_info方法)奸忽,在斷開失敗且MySql的超時時間過長時@connection_wait_timeout才會起作用。

public
def register
  # Add instance variables 
  @logger = self.logger
  @connection_retry_attempts = 5
  @connection_retry_attempts_wait_time = 1
  @connection_wait_timeout = 10
  begin
    require @jdbc_driver_library
  rescue => e
    @logger.error("Failed to load #{@jdbc_driver_library}", :exception => e)
  end
end # def register

創(chuàng)建db實例:

private 
def create_db(conn_str)
  db = nil
  retry_attempts = @connection_retry_attempts
  while retry_attempts > 0 do
    retry_attempts -= 1
    begin
      tmp_db = Sequel.connect(conn_str)
    rescue Sequel::PoolTimeout => e
      if retry_attempts <= 0
        @logger.error("Failed to connect to database. 5 second timeout exceeded. Tried #{@connection_retry_attempts} times.")
        raise e
      else
        @logger.error("Failed to connect to database. 5 second timeout exceeded. Trying again.")  
      end
    rescue Sequel::Error => e
      if retry_attempts <= 0
        @logger.error("Unable to connect to database. Tried #{@connection_retry_attempts} times", :error_message => e.message)
        raise e
      else
        @logger.error("Unable to connect to database. Trying again", :error_message => e.message)
      end
    else
      db = tmp_db
      break
    end
    sleep(@connection_retry_attempts_wait_time)
  end
  db
end

查詢數據:

private
def fetch_info(db, sql, key)
  all_info = {}
  retry_attempts = @connection_retry_attempts
  while retry_attempts > 0 do
    retry_attempts -= 1
    begin
      db.fetch(sql) do |row|
        all_info[row[key]] = row
      end
      db.run "set wait_timeout = " + @connection_wait_timeout.to_s
    rescue Sequel::DatabaseConnectionError, Sequel::DatabaseError => e
      if retry_attempts <= 0
        @logger.warn("Exception when executing JDBC query", :exception => e)
        raise e
      else
        @logger.error("Failed to execute query. Trying again.", :error_message => e.message)
      end
    else
      break
    end
    sleep(@connection_retry_attempts_wait_time)
  end
  db.disconnect()
  all_info
end

接下來就可以根據需要在registerfilter中使用create_dbfetch_info方法了揖庄。
注意:這里只是以查詢MySql為例進行說明栗菜,處理Logstash事件時需要考慮對性能和吞吐量的影響。

在Logstash中配置定制的插件

cd到Logstash根目錄下蹄梢,在Gemfile添加以下配置:

gem "logstash-filter-test", :path => "vendor/localgems/logstash-filter-test"

啟動Logstash

啟動Logstash疙筹,配置我們定制的test插件,如下:

bin/logstash -e 'input { beats { port => "5043" } } filter { test { jdbc_driver_library => "/usr/local/lib/ruby/gems/2.3.0/gems/jdbc-mysql-5.1.40/lib/mysql-connector-java-5.1.40-bin.jar" } } output { stdout { codec => rubydebug }}'

也可以寫配置文件检号,與上面的-e參數內容一致腌歉,然后使用配置文件啟動Logstash。
啟動Logstash的傳送門:https://www.elastic.co/guide/en/logstash/5.1/running-logstash-command-line.html齐苛。

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
  • 人面猴
    序言:七十年代末翘盖,一起剝皮案震驚了整個濱河市,隨后出現的幾起案子凹蜂,更是在濱河造成了極大的恐慌馍驯,老刑警劉巖,帶你破解...
    沈念sama閱讀 206,214評論 6 481
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件玛痊,死亡現場離奇詭異汰瘫,居然都是意外死亡,警方通過查閱死者的電腦和手機擂煞,發(fā)現死者居然都...
    沈念sama閱讀 88,307評論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門混弥,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人对省,你說我怎么就攤上這事蝗拿。” “怎么了蒿涎?”我有些...
    開封第一講書人閱讀 152,543評論 0 341
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵哀托,是天一觀的道長。 經常有香客問我劳秋,道長仓手,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 55,221評論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任玻淑,我火速辦了婚禮嗽冒,結果婚禮上,老公的妹妹穿的比我還像新娘岁忘。我一直安慰自己辛慰,他們只是感情好,可當我...
    茶點故事閱讀 64,224評論 5 371
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布干像。 她就那樣靜靜地躺著帅腌,像睡著了一般。 火紅的嫁衣襯著肌膚如雪麻汰。 梳的紋絲不亂的頭發(fā)上速客,一...
    開封第一講書人閱讀 49,007評論 1 284
  • 城市分裂傳說
    那天,我揣著相機與錄音五鲫,去河邊找鬼溺职。 笑死,一個胖子當著我的面吹牛位喂,可吹牛的內容都是我干的浪耘。 我是一名探鬼主播,決...
    沈念sama閱讀 38,313評論 3 399
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼塑崖,長吁一口氣:“原來是場噩夢啊……” “哼七冲!你這毒婦竟也來了?” 一聲冷哼從身側響起规婆,我...
    開封第一講書人閱讀 36,956評論 0 259
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤澜躺,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后抒蚜,有當地人在樹林里發(fā)現了一具尸體掘鄙,經...
    沈念sama閱讀 43,441評論 1 300
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內容為張勛視角 年9月15日...
    茶點故事閱讀 35,925評論 2 323
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年嗡髓,在試婚紗的時候發(fā)現自己被綠了操漠。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 38,018評論 1 333
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡饿这,死狀恐怖浊伙,靈堂內的尸體忽然破棺而出,到底是詐尸還是另有隱情蛹稍,我是刑警寧澤吧黄,帶...
    沈念sama閱讀 33,685評論 4 322
  • ?日本核電站爆炸內幕
    正文 年R本政府宣布,位于F島的核電站唆姐,受9級特大地震影響拗慨,放射性物質發(fā)生泄漏。R本人自食惡果不足惜奉芦,卻給世界環(huán)境...
    茶點故事閱讀 39,234評論 3 307
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一赵抢、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧声功,春花似錦烦却、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,240評論 0 19
  • 一樁弒父案其爵,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽冒冬。三九已至,卻和暖如春摩渺,著一層夾襖步出監(jiān)牢的瞬間简烤,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,464評論 1 261
  • 情欲美人皮
    我被黑心中介騙來泰國打工摇幻, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留横侦,地道東北人。 一個月前我還...
    沈念sama閱讀 45,467評論 2 352
  • 代替公主和親
    正文 我出身青樓绰姻,卻偏偏與公主長得像枉侧,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子狂芋,可洞房花燭夜當晚...
    茶點故事閱讀 42,762評論 2 345

推薦閱讀更多精彩內容

  • Spring Cloud為開發(fā)人員提供了快速構建分布式系統中一些常見模式的工具(例如配置管理榨馁,服務發(fā)現,斷路器银酗,智...
    卡卡羅2017閱讀 134,599評論 18 139
  • Spring Boot 參考指南 介紹 轉載自:https://www.gitbook.com/book/qbgb...
    毛宇鵬閱讀 46,748評論 6 342
  • 1. Java基礎部分 基礎部分的順序:基本語法辆影,類相關的語法,內部類的語法黍特,繼承相關的語法蛙讥,異常的語法,線程的語...
    子非魚_t_閱讀 31,581評論 18 399
  • 青海湖灭衷,給我的感覺是天空很藍次慢,白云很清晰,沒有霧霾翔曲,看到的一切都很新鮮迫像。你們喜歡嗎?喜歡的話點個贊喲瞳遍。
    別踩影子呀閱讀 478評論 2 14
  • 不知不覺掠械,大學就快結束了由缆。從一開始,信誓旦旦要怎么樣怎么樣的幼稚猾蒂,變成可以這樣那樣的思考解決問題;從怎么辦啊均唉,學長...
    人間的帥哥閱讀 618評論 0 0