首页 文章 精选 留言 我的

elk组件 基础语法

2017-11-27 607
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
Shipper->Broker->Indexer->ES
 
1.input
 
input { stdin {} }
output {
    stdout { codec=> rubydebug }
}
 
file  {
    codec => multiline {
              pattern =>  "^\s"
              what =>  "previous"
         }
    path => [ "xx" , "xx" ]
    exclude =>  "1.log"
    add_field => [  "log_ip" "xx"  ]
    tags =>  "tag1"
    #设置新事件的标志
    delimiter =>  "\n"
    #设置多长时间扫描目录,发现新文件
    discover_interval => 15
    #设置多长时间检测文件是否修改
    stat_interval => 1
 
    #监听文件的起始位置,默认是end
    start_position => beginning
 
    #监听文件读取信息记录的位置
    sincedb_path =>  "E:/software/logstash-1.5.4/logstash-1.5.4/test.txt"
    #设置多长时间会写入读取的位置信息
    sincedb_write_interval => 15
    }
    
   
  2.filter
  filter {
     multiline {
         # 指定合并规则——所有不是以数字开头的行需要被合并
         pattern =>  "^[^\d]"
         # 合并到哪里——上一行
         what =>  "previous"
    
  filter {
   multiline {
     type  =>  "type"    #类型,不多说
     pattern =>  "pattern, a regexp"  #参数,也可以认为是字符,有点像grep ,如果符合什么字符就交给下面的 what 去处理
     negate => boolean
     what =>  "previous"  or  "next"  #这个是符合上面 pattern 的要求后具体怎么处理,处理方法有两种,合并到上面一条日志或者下面的日志
   }
}
    
 
    
filter {
   grep  {
     match => [  "@message" "PHP Fatal error"  ]
     drop  =>  false
     add_tag => [fatal_error]
        }
                                                    
        grep  {
        tags => [fatal_error]
        match => [  "@message" ".*(xbox\.com|xbox\.mib\.com\.cn|supports\.game\.mib\.com\.cn)"  ]
        drop  =>  false
        add_tag => [xboxerror]
             }
          }
  
#过滤掉内容包含5.3.3与down以外日志
filter {
     if  [message] !~   "5.3.3|down"  {
         ruby  {
             code =>  "event.cancel"
     }
     }
}
#使用自带的过滤规则显示更多的字段
filter {
     grok {
         match => { "message"  =>  "%{COMBINEDAPACHELOG}" }
   }
}
#合并不是以[开头的日志
filter {
     multiline {
         pattern =>  "^[^[]"
         negate =>  true
         what =>  "previous"
     }
}
  
 
  
filter {
   if  [path] =~  "error"  {
     mutate { replace => {  "type"  =>  "apache_error"  } }
     grok {
       match => {  "message"  =>  "%{COMBINEDAPACHELOG}"  }
     }
   }
   date  {
     match => [  "timestamp"  "dd/MMM/yyyy:HH:mm:ss Z"  ]
   }
  
  
filter {
   if  [path] =~  "access"  {
     mutate { replace => {  type  =>  "apache_access"  } }
     grok {
       match => {  "message"  =>  "%{COMBINEDAPACHELOG}"  }
     }
     date  {
       match => [  "timestamp"  "dd/MMM/yyyy:HH:mm:ss Z"  ]
     }
   else  if  [path] =~  "error"  {
     mutate { replace => {  type  =>  "apache_error"  } }
   else  {
     mutate { replace => {  type  =>  "random_logs"  } }
   }
}
  
  
3.output
发邮件
output {
email {
    match => [  "@message" "aaaaa"  ]
    to =>  "storyskya@gmail.com"
    from =>  "monitor@mib.com.cn"
    options => [  "smtpIporHost" "smtp.mibnet.com" ,
                 "port" "25" ,
                 "userName" "monitor@mib.com.cn" ,
                 "starttls" "true" ,
                 "password" "opmonitor" ,
                 "authenticationType" "login"
               ]
    subject =>  "123"
    body =>  '123'
    via => smtp
}
}
    
    
output {
     if  [ type ] ==  "syslog"  {
         elasticsearch {
             hosts =>  "172.16.0.102:9200"
             index =>  "syslog-%{+YYYY.MM.dd}"
     }
}
      
     if  [ type ] ==  "nginx"  {
         elasticsearch {
             hosts =>  "172.16.0.102:9200"
             index =>  "nglog-%{+YYYY.MM.dd}"
      }
}
#匹配内容包含paramiko与simplejson的日志通邮件发送
     if  [message] =~   /paramiko |simplejson/ {
         email {
             to =>  "12222222@wo.cn"
             from =>  "good_zabbix@163.com"
             contenttype =>  "text/plain; charset=UTF-8"
             address =>  "smtp.163.com"
             username =>  "test@163.com"
             password =>  "12344"
             subject =>  "服务器%{host}日志异常"
             body =>  "%{@timestamp} %{type}: %{message}"
         }
     }
    
    
output {
     stdout { codec => rubydebug }
     redis {
         host =>  '192.168.1.104'
         data_type =>  'list'
         key =>  'logstash:redis'
     }
}
    
 
output {
   elasticsearch { host => localhost }
   stdout { codec => rubydebug }
}
    
    
替换
mutate {
     type  =>  "phplog"
     gsub => [  "@message" , "'" "\""  ]
}   
 
 
 
调试
# /usr/local/logstash-1.5.2/bin/logstash -e 'input { stdin { } } output { stdout {} }'
curl '
  
logstash -e  'input{stdin{}}output{stdout{codec=>rubydebug}}'

# logstash agent -f logstash-simple.conf --verbose //开启debug模式



本文转自 liqius 51CTO博客,原文链接:http://blog.51cto.com/szgb17/1865408,如需转载请自行联系原作者

上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://yq.aliyun.com/articles/512590

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

III 26 ELK

ELK(elasticsearch、logstash、kibana) Elastic Stack是原ELK Stack在5.0版本加入Beats套件后的新称呼 解决痛点: 开发人员不能登录线上server查看详细日志; 各个系统都有日志,日志数据分散难以查找; 日志数据量大,查询速度慢,或数据不够实时; 一个调用会涉及多个系统,难以在这些系统的日志中快速定位数据; 典型应用: http://lucene.apache.org/ 大多数电商的管理后台,搜索功能(搜订单、搜用户)都用lucene; 百科: Lucene是apache软件基金会jakarta项目组的一个子项目,是一个开放源代码的全文检索引擎工具包,但它不是一个完整的全文检索引擎,而是一个全文检索引擎的架构,提供了完整的查询引擎和索引引擎,部分文本分析引擎(英文与德文两种西方语言); Lucene的目的是为软件开发人员提供一个简单易用的工具包,以方便的在目标系统中实现全文检索的功能,或者是以此为基础建立起完整的全文检索引擎; Lucene是一套用于全文检索和搜寻的开源程式库,由Apache软件基金会支持和提供,Luce...
2017-11-28
526
上一篇

Spark RDD/Core 编程 API入门系列 之rdd实战(rdd基本操作实战及transformation和action流程图)(源...

本博文的主要内容是: 1、rdd基本操作实战 2、transformation和action流程图 3、典型的transformation和action RDD有3种操作: 1、 Trandformation 对数据状态的转换,即所谓算子的转换 2、 Action 触发作业,即所谓得结果的 3、 Contoller 对性能、效率和容错方面的支持,如cache、persist、checkpoint Contoller包括cache、persist、checkpoint。 /** * Return a new RDD by applying a function to all elements of this RDD. */def map[U: ClassTag](f: T => U): RDD[U] = withScope { val cleanF = sc.clean(f) new MapPartitionsRDD[U, T](this, (context, pid, iter) => iter.map(cleanF))} 传入类型是T,返回类型是U。 元素之...
2017-11-28
516
下一篇

相关文章

发表评论

资源下载

更多资源
Mario

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长,特征是大鼻子、头戴帽子、身穿背带裤,还留着胡子。与他的双胞胎兄弟路易基一起,长年担任任天堂的招牌角色。

时间: 2025-12-12 大小: 211.28KB 下载: 54次
腾讯云软件源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题,腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构,目前腾讯云软件源站支持公网访问和内网访问。

时间: 2025-12-28 大小: 1MB 下载: 4次
Nacos

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称,一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

时间: 2025-12-21 大小: 189MB 下载: 2次
Spring

Spring

Spring框架(Spring Framework)是由Rod Johnson于2002年提出的开源Java企业级应用框架,旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念,提供核心容器、应用上下文、数据访问集成等模块,支持整合Hibernate、Struts等第三方框架,其适用范围不仅限于服务器端开发,绝大多数Java应用均可从中受益。

时间: 2025-12-17 大小: 5MB 下载: 1次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
OpenAi Docker DeepSeek Jdk25 Kubernetes Redis HarmonyOS6 SpringBoot4 Nacos3 Service Mesh Gemini3 SpringCloud Rocky

欢迎您来访!

登录后,您将获得更多功能!
热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273

用户登录
用户注册