ElasticSearch_Logstash_Windows

先爆個(gè)坑,我是在WINDWOS上操作的Logstash胰丁,官網(wǎng)上的啟動(dòng)命令是:
cd logstash-5.4.1
bin/logstash -e 'input { stdin { } } output { stdout {} }'
上面是linux的啟動(dòng)命令普筹。windows應(yīng)該這樣啟動(dòng):
cd logstash-5.4.1
bin/logstash.bat -e 'input { stdin { } } output { stdout {} }'
另一種格式:

以上都是控制臺(tái)手寫再輸入到控制臺(tái),如何處理大量數(shù)據(jù)呢隘马?

數(shù)據(jù)源shakespeare.json是《莎士比亞》太防。
wjb.conf是配置文件:

input {
  file {
    path => "F:/ElasticSearch/logstash-5.4.1/shakespeare.json/"
    start_position => "beginning"
    ignore_older => 0
    codec => "json"
#    sincedb_path => "/dev/null"
    type => "wjb_log"
  }
}

filter{
    if [bboy_id] {
        mutate { add_tag => "BBOY" }
    }
}

output {
    if [bboy_id] {
        elasticsearch {
            hosts => "localhost:9200"
            index => "bboy-%{+YYYY.MM.dd}"
            document_type => "bboy_log"
        }
    } else {
        elasticsearch {
            hosts => "localhost:9200"
            index => "wjb-%{+YYYY.MM.dd}"
            document_type => "wjb_log"
        }
    }
}

運(yùn)行命令:

wjb@wjb MINGW64 /f/ElasticSearch/logstash-5.4.1
$ bin/logstash.bat -f wjb.conf
通過kibana就可以查看數(shù)據(jù)了。如下:

下面是轉(zhuǎn)載的:

#整個(gè)配置文件分為三部分:input,filter,output
#參考這里的介紹 https://www.elastic.co/guide/en/logstash/current/configuration-file-structure.html
input {
  #file可以多次使用酸员,也可以只寫一個(gè)file而設(shè)置它的path屬性配置多個(gè)文件實(shí)現(xiàn)多文件監(jiān)控
  file {
    #type是給結(jié)果增加了一個(gè)屬性叫type值為"<xxx>"的條目蜒车。這里的type,對(duì)應(yīng)了ES中index中的type幔嗦,即如果輸入ES時(shí)酿愧,沒有指定type,那么這里的type將作為ES中index的type邀泉。
    type => "apache-access" 
    path => "/apphome/ptc/Windchill_10.0/Apache/logs/access_log*"
    #start_position可以設(shè)置為beginning或者end嬉挡,beginning表示從頭開始讀取文件钝鸽,end表示讀取最新的,這個(gè)也要和ignore_older一起使用庞钢。
    start_position => beginning
    #sincedb_path表示文件讀取進(jìn)度的記錄拔恰,每行表示一個(gè)文件,每行有兩個(gè)數(shù)字基括,第一個(gè)表示文件的inode颜懊,第二個(gè)表示文件讀取到的位置(byteoffset)。默認(rèn)為$HOME/.sincedb*
    sincedb_path => "/opt/logstash-2.3.1/sincedb_path/access_progress"
    #ignore_older表示了針對(duì)多久的文件進(jìn)行監(jiān)控风皿,默認(rèn)一天河爹,單位為秒,可以自己定制桐款,比如默認(rèn)只讀取一天內(nèi)被修改的文件咸这。
    ignore_older => 604800
    #add_field增加屬性。這里使用了${HOSTNAME}魔眨,即本機(jī)的環(huán)境變量炊苫,如果要使用本機(jī)的環(huán)境變量,那么需要在啟動(dòng)命令上加--alow-env冰沙。
    add_field => {"log_hostname"=>"${HOSTNAME}"}
    #這個(gè)值默認(rèn)是\n 換行符侨艾,如果設(shè)置為空"",那么后果是每個(gè)字符代表一個(gè)event
    delimiter => ""
    #這個(gè)表示關(guān)閉超過(默認(rèn))3600秒后追蹤文件拓挥。這個(gè)對(duì)于multiline來(lái)說(shuō)特別有用唠梨。... 這個(gè)參數(shù)和logstash對(duì)文件的讀取方式有關(guān),兩種方式read tail侥啤,如果是read
    close_older => 3600
    coodec => multiline {
      pattern => "^\s"
      #這個(gè)negate是否定的意思当叭,意思跟pattern相反,也就是不滿足patter的意思盖灸。
#      negate => ""
      #what有兩個(gè)值可選 previous和next蚁鳖,舉例說(shuō)明,java的異常從第二行以空格開始赁炎,這里就可以pattern匹配空格開始醉箕,what設(shè)置為previous意思是空格開頭這行跟上一行屬于同一event。另一個(gè)例子徙垫,有時(shí)候一條命令太長(zhǎng)讥裤,當(dāng)以\結(jié)尾時(shí)表示這行屬于跟下一行屬于同一event,這時(shí)需要使用negate=>true姻报,what=>'next'己英。
      what => "previous"
      auto_flush_interval => 60
    }
  }
  file { 
    type => "methodserver-log" 
    path => "/apphome/ptc/Windchill_10.0/Windchill/logs/MethodServer-1604221021-32380.log" 
    start_position => beginning 
    sincedb_path => "/opt/logstash-2.3.1/sincedb_path/methodserver_process"
#    ignore_older => 604800
  }
}
filter{
  #執(zhí)行ruby程序,下面例子是將日期轉(zhuǎn)化為字符串賦予daytag
  ruby {
    code => "event['daytag'] = event.timestamp.time.localtime.strftime('%Y-%m-%d')"
  }
  # if [path] =~ "access" {} else if [path] =~ "methodserver" {} else if [path] =~ "servermanager" {} else {} 注意語(yǔ)句結(jié)構(gòu)
  if [path] =~ "MethodServer" { #z這里的=~是匹配正則表達(dá)式
    grok {
      patterns_dir => ["/opt/logstash-2.3.1/patterns"] #自定義正則匹配
#      Tue 4/12/16 14:24:17: TP-Processor2: hirecode---->77LS
      match => { "message" => "%{DAY:log_weekday} %{DATE_US:log_date} %{TIME:log_time}: %{GREEDYDATA:log_data}"}
    }
    #mutage是做轉(zhuǎn)換用的
    mutate { 
      replace => { "type" => "apache" } #替換屬性值
      convert => { #類型轉(zhuǎn)換
        "bytes" => "integer" #例如還有float
        "duration" => "integer"
        "state" => "integer"
      }
    #date主要是用來(lái)處理文件內(nèi)容中的日期的吴旋。內(nèi)容中讀取的是字符串损肛,通過date將它轉(zhuǎn)換為@timestamp厢破。參考https://www.elastic.co/guide/en/logstash/current/plugins-filters-date.html#plugins-filters-date-match
#    date {
#      match => [ "logTime" , "dd/MMM/yyyy:HH:mm:ss Z" ]
#    }
  }else if [type] in ['tbg_qas','mbg_pre'] { # if ... else if ... else if ... else結(jié)構(gòu)
  }else {
    drop{} # 將event丟棄
  }
}
output {
  stdout{ codec=>rubydebug} # 直接輸出,調(diào)試用起來(lái)方便
  # 輸出到redis
  redis {
    host => '10.120.20.208'
    data_type => 'list'
    key => '10.99.201.34:access_log_2016-04'
  }
  # 輸出到ES
  elasticsearch {
    hosts =>"192.168.0.15:9200"
    index => "%{sysid}_%{type}"
    document_type => "%{daytag}"
  }
}
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末治拿,一起剝皮案震驚了整個(gè)濱河市摩泪,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌忍啤,老刑警劉巖,帶你破解...
    沈念sama閱讀 211,123評(píng)論 6 490
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件仙辟,死亡現(xiàn)場(chǎng)離奇詭異同波,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)叠国,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,031評(píng)論 2 384
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門未檩,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人粟焊,你說(shuō)我怎么就攤上這事冤狡。” “怎么了项棠?”我有些...
    開封第一講書人閱讀 156,723評(píng)論 0 345
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵悲雳,是天一觀的道長(zhǎng)。 經(jīng)常有香客問我香追,道長(zhǎng)合瓢,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 56,357評(píng)論 1 283
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任透典,我火速辦了婚禮晴楔,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘峭咒。我一直安慰自己税弃,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,412評(píng)論 5 384
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開白布凑队。 她就那樣靜靜地躺著则果,像睡著了一般。 火紅的嫁衣襯著肌膚如雪漩氨。 梳的紋絲不亂的頭發(fā)上短条,一...
    開封第一講書人閱讀 49,760評(píng)論 1 289
  • 城市分裂傳說(shuō)
    那天,我揣著相機(jī)與錄音才菠,去河邊找鬼茸时。 笑死,一個(gè)胖子當(dāng)著我的面吹牛赋访,可吹牛的內(nèi)容都是我干的可都。 我是一名探鬼主播缓待,決...
    沈念sama閱讀 38,904評(píng)論 3 405
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼渠牲!你這毒婦竟也來(lái)了旋炒?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 37,672評(píng)論 0 266
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤签杈,失蹤者是張志新(化名)和其女友劉穎瘫镇,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體答姥,經(jīng)...
    沈念sama閱讀 44,118評(píng)論 1 303
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡铣除,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,456評(píng)論 2 325
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了鹦付。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片尚粘。...
    茶點(diǎn)故事閱讀 38,599評(píng)論 1 340
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖敲长,靈堂內(nèi)的尸體忽然破棺而出郎嫁,到底是詐尸還是另有隱情,我是刑警寧澤祈噪,帶...
    沈念sama閱讀 34,264評(píng)論 4 328
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布泽铛,位于F島的核電站,受9級(jí)特大地震影響辑鲤,放射性物質(zhì)發(fā)生泄漏厚宰。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,857評(píng)論 3 312
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一遂填、第九天 我趴在偏房一處隱蔽的房頂上張望铲觉。 院中可真熱鬧,春花似錦吓坚、人聲如沸撵幽。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,731評(píng)論 0 21
  • 一樁弒父案礁击,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)盐杂。三九已至,卻和暖如春哆窿,著一層夾襖步出監(jiān)牢的瞬間链烈,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,956評(píng)論 1 264
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工挚躯, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留强衡,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 46,286評(píng)論 2 360
  • 代替公主和親
    正文 我出身青樓码荔,卻偏偏與公主長(zhǎng)得像漩勤,于是被迫代替她去往敵國(guó)和親感挥。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,465評(píng)論 2 348

推薦閱讀更多精彩內(nèi)容