之前写的安装JDK的
Linux(centos 7.5)服务器安装JDK(1.8)
yum安装JDK
# 查看可安装java版本
yum list java*
# 安装JDK11
yum install java-11-openjdk-demo.x86_64
https://www.elastic.co/cn/downloads/logstash
wget https://artifacts.elastic.co/downloads/logstash/logstash-8.3.3-linux-x86_64.tar.gz
创建安装目录
mkdir /usr/local/logstash
解压缩安装文件
tar -zxvf logstash-8.3.3-linux-x86_64.tar.gz -C /usr/local/logstash
执行以下命令
cd logstash-8.3.3
bin/logstash -e 'input { stdin { } } output { stdout {} }'
如果你在你的 Terminal 中看到和我一样的输出,说明你的 Logstash 安装时成功的。
我们也可以创建一个自己的 logstash.conf 文件,并存于你的文件系统的一个目录下。这个 logstash.conf 的文件内容如下:
input {
heartbeat {
interval => 10
type => "heartbeat"
}
}
output {
stdout {
codec => rubydebug
}
}
启动
bin/logstash -f heartbeat.conf
通过这样的 -f 选项,我们可以启动任何一个我们喜欢路径的 longstash 配置文件。
创建一个自己的logstash.conf
文件
input {
tcp {
port => 9900
}
}
output {
stdout { }
}
运行Logstash
bin/logstash -f weblog.conf
接下来,我们使用 nc 应用把数据发送到 TCP 端口号 9900,并查看 console 的输出。我们在另外一个 console 中打入如下的命令
echo 'hello logstash' | nc localhost 9900
Logstash
新建一个含有日志文件:
14.49.42.25 - - [12/May/2019:01:24:44 +0000] “GET /articles/ppp-over-ssh/ HTTP/1.1” 200 18586 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2b1) Gecko/20091014 Firefox/3.6b1 GTB5”
执行以下命令推送大Logstash
head -n 1 weblog-sample.log | nc localhost 9900
核心配置:
elasticsearch {
hosts => ["http://172.28.70.231:9200"]
index => "logstash"
user => "elastic"
password => "23hUMjScdjOkbKiqCYj9"
}
完整配置:
input {
tcp {
port => 9900
}
}
filter {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}" }
}
mutate {
convert => {
"bytes" => "integer"
}
}
geoip {
source => "clientip"
target => "clientgeo"
}
useragent {
source => "agent"
target => "useragent"
}
}
output {
stdout { }
elasticsearch {
hosts => ["http://172.28.70.231:9200"]
index => "logstash"
user => "elastic"
password => "23hUMjScdjOkbKiqCYj9"
}
}
从日志文件weblog-sample.log
中导入数据
head -n 1 weblog-sample.log | nc localhost 9900
https://www.elastic.co/cn/downloads/beats/
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-8.3.3-linux-x86_64.tar.gz
解压缩安装包
tar -zxvf filebeat-8.3.3-linux-x86_64.tar.gz
新建配置文件filebeat_apache.yml
filebeat.inputs:
- type: log
enabled: true
paths:
- /Users/liuxg/data/apache_logs/*
output.logstash:
hosts: ["localhost:5044"]
运行Filebeat
$ ./filebeat -c filebeat_apache.yml
就会将日志同步到Logstash
。
日志所在的目录(正则表达式),可匹配目录以及文件。
/Users/liuxg/data/apache_logs/*
[2022-08-04T11:05:00,966][ERROR][logstash.javapipeline ][main] Pipeline error {:pipeline_id=>"main", :exception=>#<LogStash::ConfigurationError: GeoIP Filter in ECS-Compatiblity mode requires a `target` when `source` is not an `ip` sub-field,。
修复内容
改为target
去展示
需要配置上到达ES
的index
。
elasticsearch {
hosts => ["http://172.28.70.231:9200"]
index => "logstash"
user => "elastic"
password => "23hUMjScdjOkbKiqCYj9"
}
error loading config file
权限问题:
如果没有赋予权限,下面启动会报错:
Exiting: error loading config file: open filebeat.yml: permission denied
如果赋予777权限,也会报错:
Exiting: error loading config file: config file (“filebeat.yml”) can only be writable by the owner but the permissions are “-rwxrwxrwx” (to fix the permissions use: ‘chmod go-w /usr/share/filebeat/filebeat.yml’)
解决:
chmod 755 /home/filebeat/filebeat.yml
Logstash:把 Apache 日志导入到 Elasticsearch Logstash:Logstash 入门教程 (二)