logstasha安裝注意事項與啟動案例
Logstash 是ELK的主要成員 (logstash ElasticSearch Kibana)主要作用是讀取數據,並且提供了過濾器清洗數據,輸出數據
我們接下來展示案例,這里需要注意的是: ELK都是同一個公司的出品,所以 組合起來 版本也必須一致
一定要注重版 否則 會有很有奇怪的bug 例如 找不到java_home 或者是findStr命令失效 等等 環境變量明明配置了但是就是出錯等原因, 最好選擇 7.16.2版本
安裝開始:
選擇logstash 並且選擇 7.16.2版本 下載:
下載到本地后解壓軟件:
第二步 進入bin目錄
我們創建一個weblog.conf的文件,這也是我們要讀取目標和輸出數據的配置
copy出內容
input{
file{
path=>["C:\Users\Administrator\log\xxxx1.2\bms-web.log"] #需要讀取的文件
#監聽文件的起始位置,默認是end
start_position => beginning
type=>"data"
sincedb_path => "D:\1.txt"
}
}
filter {
grok {
match => {
# 從原始日志中解析出 trace_id 等其它需要的字段
"message" => "^(?<timestamp>\d{4}\-\d{2}\-\d{2}\s\d{2}\:\d{2}\:\d{2}\.\d{3})\s(?<level>\w{4,5})\s+\T\I\D\:\s*(?<trace_id>[0-9a-f.]{54})\s%{DATA:thread}\s%{DATA:class}\:%{GREEDYDATA:content}$"
}
}
mutate {
remove_field => "message" # 刪除原始日志內容節省存儲和帶寬
}
}
output{
#elasticsearch{ #輸出到es
#hosts=>["127.0.0.1:9200"]
#index=>"filedemo"
# document_type => "filedemo"
#}
stdout{codec => rubydebug }
}
編寫完了文件bin目錄就多了一個
weblog.conf文件
啟動logstash 測試一下
cmd 進入到 logstash 的bin目錄下
輸入命令
logstash -f weblog.conf
結果是啟動成功 , 我這里是把文件 輸出的ES里面了你如果也想輸出的ES 需要把 文件的注釋解除: 並且還要安裝ElasticSearch
output{
elasticsearch{ #輸出到es
hosts=>["127.0.0.1:9200"]
index=>"filedemo"
document_type => "filedemo"
}
stdout{codec => rubydebug }
}