那些遇到过的问题

如何使用Logstash处理多个异构输入?

Dav*_*vid 92 logging elasticsearch logstash graylog2

假设您有两种非常不同类型的日志,例如技术和业务日志,您需要:

  • 使用gelf输出将原始技术日志路由到graylog2服务器,
  • 使用专用elasticsearch_http输出将json业务日志存储到elasticsearch集群中.

我知道,Syslog-NG例如,配置文件允许定义几个不同的输入,然后可以在分派之前单独处理; 什么Logstash似乎无法做到.即使一个实例可以使用两个特定的配置文件启动,所有日志都采用相同的通道并应用相同的处理...

我应该运行尽可能多的实例,因为我有不同类型的日志吗?

Ben*_*Lim 184

我应该运行尽可能多的实例,因为我有不同类型的日志吗?

没有!您只能运行一个实例来处理不同类型的日志.

在logstash配置文件中,您可以使用不同类型指定每个输入.然后在过滤器中,您可以使用if来区分不同的处理,并且在输出处也可以使用"if"输出到不同的目标.

input {
    file {
            type => "technical"
            path => "/home/technical/log"
    }
    file {
            type => "business"
            path => "/home/business/log"
    }
} 
filter {
    if [type] == "technical" {
            # processing .......
    }
    if [type] == "business" {
            # processing .......
    }
}
output {
    if [type] == "technical" {
            # output to gelf
    }
    if [type] == "business" {
            # output to elasticsearch
    }
}
Run Code Online (Sandbox Code Playgroud)

希望这可以帮到你 :)

  • 好吧,看起来Ben提供的实际上是实现这一目标的新方法.当我在输出中使用`type =>"value"`时,我显示以下消息:"您正在stdout中使用已弃用的配置设置"type".不推荐的设置将继续有效,但计划从中删除将来的logstash.您可以使用新的条件实现相同的行为,例如:`if [type] =="sometype"{stdout {...}}`." 我撤回了之前的评论.:) (5认同)
  • @BenLim OP不接受你的答案,但我发现它最有帮助,并且投票给你了. (2认同)

Rob*_*ang 14

我使用标签进行多个文件输入:

input {
    file {
        type => "java"
        path => "/usr/aaa/logs/stdout.log"
        codec => multiline {
            ...
        },
        tags => ["aaa"]
    }

    file {
        type => "java"
        path => "/usr/bbb/logs/stdout.log"
        codec => multiline {
                ...
        }
        tags => ["bbb"]
    }
}
output {
    stdout {
        codec => rubydebug
    }
    if "aaa" in [tags] {
        elasticsearch {
            hosts => ["192.168.100.211:9200"]
            index => "aaa"
            document_type => "aaa-%{+YYYY.MM.dd}"
        }
    }

    if "bbb" in [tags] {
        elasticsearch {
            hosts => ["192.168.100.211:9200"]
            index => "bbb"
            document_type => "bbb-%{+YYYY.MM.dd}"
        }
    }
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

56649 次

最近记录:

7 年,12 月 前
相关归档
如何为java HttpURLConnection流量启用线路记录? 44
在scrapy中记录到特定的错误日志文件 8
将pandas数据帧索引到没有elasticsearch-py的Elasticsearch中 6
如何配置 Gradle 应用程序以使用 SLF4J 和 Log4J 2 实现? 6
通过powershell获取IIS日志位置? 5
Elasticsearch无法在AWS kubernetes集群上启动 5
elasticsearch: cluster_block_exception TOO_MANY_REQUESTS/12/index 只读/允许删除(api) 4
不支持ElasticSearch script_lang [groovy] 3
在SQL Server中为表创建LOG 1
弹性搜索不返回突出显示结果 1
难疑归档
如何用JavaScript更改元素的类? 2650
"最小的惊讶"和可变的默认论证 2458
可以(a == 1 && a == 2 && a == 3)评估为真吗? 2438
在Windows命令行上是否有相应的"哪个"? 2231
JavaScript等效于printf/String.Format 1874
从已从磁盘中删除的Git存储库中删除多个文件 1294
如何删除重复的行? 1254
如何从Git存储库中删除.DS_Store文件? 1167
创建一个带参数的Bash别名? 1164
检查SQL Server中是否存在表 1068