logstash配置语句详解
数据类型:
- 布尔值类型: ssl_enable => true
- 字节类型: bytes => “1MiB”
- 字符串类型: name => “xkops”
- 数值类型: port => 22
- 数组: match => [“datetime”,“UNIX”]
- 哈希: options => {key1 => “value1”,key2 => “value2”}
- 编码解码: codec => “json”
= 路径: file_path => “/tmp/filename” - 注释: #
条件判断:
- 等于: ==
- 不等于: !=
- 小于: <
- 大于: >
- 小于等于: <=
- 大于等于: >=
- 匹配正则: =~
- 不匹配正则: !~
- 包含: in
- 不包含: not in
- 与: and
- 或: or
- 非与: nand
- 非或: xor
- 复合表达式: ()
- 取反符合: !()
logstash常用插件
- input类:也就是在input区域内定义使用的插件。
- codec类:定于处理数据格式,如plain,json,json_lines等格式。这个可以定义在input、output区域中。
- filter类:也就是在filter区域内定义使用的插件。
- output类:也就是在output区域内定义使用的插件。
- input类插件,常用的插件:file、tcp、udp、syslog,beats等。
- file插件:
file插件字段解释:
codec => #可选项,默认是plain,可设置其他编码方式。
discover_interval => #可选项,logstash多久检查一下path下有新文件,默认15s。
exclude => #可选项,排除path下不想监听的文件。
sincedb_path => #可选项,记录文件以及文件读取信息位置的数据文件。~/.sincedb_xxxx
sincedb_write_interval => #可选项,logstash多久写一次sincedb文件,默认15s.
stat_interval => #可选项,logstash多久检查一次被监听文件的变化,默认1s。
start_position => #可选项,logstash从哪个位置读取文件数据,默认从尾部,值为:end。初次导入,设置为:beginning。
path => #必选项,配置文件路径,可定义多个。
tags => #可选项,在数据处理过程中,由具体的插件来添加或者删除的标记。
type => #可选项,自定义处理时间类型。比如nginxlog。 - codec类插件,常用的插件:plain、json、json_lines、rubydebug、multiline等。
multiline插件:(处理错误日志)
multiline插件字段:
charset => #字符编码,可选
max_bytes => #bytes类型,设置最大的字节数,可选
max_lines => #number类型,设置最大的行数,默认是500行,可选
multiline_tag => #string类型,设置一个事件标签,默认是”multiline” ,可选
pattern => #string 类型,设置匹配的正则表达式 ,必选
patterns_dir => #array类型,可以设置多个正则表达式,可选
negate => #boolean类型,设置正向匹配还是反向匹配,默认是false,可选
what => #设置未匹配的内容是向前合并还是向后合并,previous, next 两个值选择,必选 - filter插件,常用的filter插件:json、grok等。
- grok插件:解析各种非结构化的日志数据插件。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/216601.html原文链接:https://javaforall.net
