logstash收集日志到elasticsearch
1.logstash下载安装
(图片来自:https://www.elastic.co/cn/downloads/logstash)
(图片来自:https://www.elastic.co/guide/en/logstash/current/configuration.html)
其余配置文件的说明,如下:
(图片来自:https://www.elastic.co/guide/en/logstash/current/config-setting-files.html)
配置收集tomcat日志,如下:
input {
beats {
port => "5044"
}
file {
path => ".../localhost_access_log*.log"
type => "tomcat-access-log-ceshi"
start_position => "beginning"
stat_interval => "2"
}
}
output {
elasticsearch {
hosts => ["***.***.***.***:9200"]
index => "logstash-tomcat-access-log-ceshi-%{+YYYY.MM.dd}"
}
stdout { codec => rubydebug }
}详细:ELK 架构之 Logstash 和 Filebeat 安装配置
2.filebeat连接logstash使用elasticsearch记日志的过程
(ME:filebeat和logstash有什么区别和联系?)
[root@node1 ~]# vi /etc/logstash/conf.d/logstash-filebeat-syslog.conf
input {
beats {
port => 10515
}
}
filter {
if [type] == "syslog" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
}
syslog_pri { }
date {
match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ]
}
}
}
output {
elasticsearch {
hosts => [ "node1:9200" ]
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
}
}(代码来自:https://www.cnblogs.com/xishuai/p/elk-logstash-filebeat.html)
(ME:这里的grok是什么用法?)
(ME:为什么filebeat不把日志直接存储到elasticsearch,而是发给logstash服务器?)
这里对过滤logstash的过滤的职责描述的更清晰一点
Reference
https://blog.csdn.net/z1017915048/article/details/102971692
https://www.cnblogs.com/Applogize/p/13545754.html
https://www.cnblogs.com/yanshicheng/articles/9431335.html
本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2021-07-12,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
Elasticsearch Service
腾讯云 Elasticsearch Service(ES)是云端全托管海量数据检索分析服务,拥有高性能自研内核,集成X-Pack。ES 支持通过自治索引、存算分离、集群巡检等特性轻松管理集群,也支持免运维、自动弹性、按需使用的 Serverless 模式。使用 ES 您可以高效构建信息检索、日志分析、运维监控等服务,它独特的向量检索还可助您构建基于语义、图像的AI深度应用。