搭建ELK(ElasticSearch+Logstash+Kibana)日志分析系统（十五）logstash将配置写在多个文件

作者：我的 | 来源：互联网 | 2023-06-29 15:06

摘要我们用Logsatsh写配置文件的时候，如果读取的文件太多，匹配的正则过多，会使配置文件动辄成百上千行代码，可能会造成阅读和修改困难。这时候，我们可以将配置文件的输入、过滤、输出分别放在

摘要
我们用Logsatsh写配置文件的时候，如果读取的文件太多，匹配的正则过多，会使配置文件动辄成百上千行代码，可能会造成阅读和修改困难。这时候，我们可以将配置文件的输入、过滤、输出分别放在不同的配置文件里，甚至把输入、过滤、输出再次分离，放在不同的文件里。
这时候，后期再需要增删改查内容的时候，就容易维护了。

1、logstash如何读取多个配置文件

我们知道在启动logstash的时候，只要加上-f /you_path_to_config_file就可以加载配置文件了，如果我们需要加载多个配置文件，只需要-f /you_path_to_config_directory就可以了。简单说，就是在-f后面加上目录就可以。
注意：目录后面不能加 * 号，否则只会读取一个文件，但是在读取日志文件时，*可以匹配所有，比如sys.log*可以匹配所有以sys.log开头的日志文件，如sys.log1,sys.log2等。

示例如下：

//比如 /home/husen/config/目录下有
//in1.conf、in2.conf、filter1.conf、filter2.conf、out.conf这5个文件

//我们使用 /logstash-5.5.1/bin/logstash -f /home/husen/config启动logtstash
//logstash会自动加载这个5个配置文件，并合并成1个整体的配置文件

2、logstash多个配置文件里的input、filter、output是否相互独立

答案是：NO！

比如：

## in1.conf内容如下：
input{
    file{
        path=>[
            "/home/husen/log/sys.log"
        ]
    }
}

## in2.conf内容如下：
input{
    file{
        path=>[
            "/home/husen/log/error.log"
        ]
    }
}

## out1.conf如下
elasticsearch {
        action => "index"          
        hosts  => "localhost:9200" 
        index  => "from_sys_log"
        codec => "json"
    }

## out2.conf如下
elasticsearch {
        action => "index"          
        hosts  => "localhost:9200" 
        index  => "from_error_log"
        codec => "json"
    }

//这几个配置文件的目的是：
//想把in1.conf读进来的sys.log的索引建立为from_sys_log
//把in.conf读进来的error.log的索引建立为femo_error_log

//logstash-5.5.1/bin/logstash -f /home/husen/config

//启动之后，会发现in1.conf的日志被输出了两次，in2.conf读进来的日志也被输出了两次

//结论：logstash读取多个配置文件只是简单的将所有配置文件整合到了一起！
//如果要彼此独立，需要自己加字段，然后判断一下
//比如读取来不同不同服务器的同样格式的日志，那么filter是可以共用的
//但是输出的索引需要分别建立，以提高辨识度

3、logstash读取多个配置文件建议的配置方法

如果要在配置文件中，独立一些部分，又要共用一些部分，比如我上门提高同样的日志来自不同的服务器，需要用同样的filter，但是建立不同的索引的问题，该怎么办？
建议使用tags或者type这两个特殊字段，即在读取文件的时候，添加标识符在tags中或者定义type变量。

示例如下：

## in1.conf内容如下：
input{
    file{
        path=>[
            "/home/husen/log/sys.log"
        ]
        type => "from_sys"
        #tags => ["from_sys"]
    }
}

## in2.conf内容如下：
input{
    file{
        path=>[
            "/home/husen/log/error.log"
        ]
        type => "from_error"
        #tags => ["from_sys"]
    }
}

## out1.conf如下
if [type] == "from_sys"{
#if "from_sys" in [tags]
    elasticsearch {
        action => "index"          
        hosts  => "localhost:9200" 
        index  => "from_sys_log"
        codec => "json"
    }
}

## out2.conf如下
if [type] == "from_error"{
#if "from_error" in [tags]
    elasticsearch {
        action => "index"          
        hosts  => "localhost:9200" 
        index  => "from_error_log"
        codec => "json"
    }
}

//特别地，如果要针对不同的类型日志用不同filter来grok解析， //也可以通过类似的方法判断

嗯哼，搞定！

推荐阅读

localhost
ELK 日志系统入门及通过 Docker 部署

1.ELK系统是什么ELK是一套日志中心解决方案，其三个字母分别表示：Elasticsearch：负责日志存储及检索Logstash&#x ... [详细]

蜡笔小新 2023-10-10 18:48:38
ip
ELK 日志采集框架（七）：Kibana安装与配置

1资源资源信息版本号备注 ... [详细]

蜡笔小新 2023-10-10 14:18:26
text
在重复造轮子的情况下用ProxyServlet反向代理来减少工作量

像不少公司内部不同团队都会自己研发自己工具产品，当各个产品逐渐成熟，到达了一定的发展瓶颈，同时每个产品都有着自己的入口，用户 ... [详细]

蜡笔小新 2023-12-13 15:19:01
ip
Nginx使用AWStats日志分析的步骤及注意事项

本文介绍了在Centos7操作系统上使用Nginx和AWStats进行日志分析的步骤和注意事项。通过AWStats可以统计网站的访问量、IP地址、操作系统、浏览器等信息，并提供精确到每月、每日、每小时的数据。在部署AWStats之前需要确认服务器上已经安装了Perl环境，并进行DNS解析。 ... [详细]

蜡笔小新 2023-12-14 19:42:01
bit
Linux下Kafka单机安装配置方法（实操成功）

本文介绍了在Linux下安装和配置Kafka的方法，包括安装JDK、下载和解压Kafka、配置Kafka的参数，以及配置Kafka的日志目录、服务器IP和日志存放路径等。同时还提供了单机配置部署的方法和zookeeper地址和端口的配置。通过实操成功的案例，帮助读者快速完成Kafka的安装和配置。 ... [详细]

蜡笔小新 2023-12-12 18:14:32
bit
无法使用fetch在服务器端读取/获取发布的数据

本文介绍了一个React Native新手在尝试将数据发布到服务器时遇到的问题，以及他的React Native代码和服务器端代码。他使用fetch方法将数据发送到服务器，但无法在服务器端读取/获取发布的数据。 ... [详细]

蜡笔小新 2023-12-11 11:26:28
bit
Centos7搭建ELK（Elasticsearch、Logstash、Kibana）教程及注意事项

本文介绍了在Centos7上搭建ELK（Elasticsearch、Logstash、Kibana）的详细步骤，包括下载安装包、安装Elasticsearch、创建用户、修改配置文件等。同时提供了使用华为镜像站下载安装包的方法，并强调了保证版本一致的重要性。 ... [详细]

蜡笔小新 2023-12-10 16:27:21
node.js
Rancher 部署 logstash

RancherOnlogstash一、下载logstash镜像二、创建挂载目录与映射配置文件2.1创建配置文件2.2配置启动命令2.3映射配置文件概述：logstas ... [详细]

蜡笔小新 2023-10-10 16:58:56
php
ElasticStack综合案例

本篇将我们前面学习到的技术：ElasticSearch、Beats、Kibana、Logstash整合起来，做一个综合性的学习，目的是为了让小伙伴们能够更加深刻的理解Elastic ... [详细]

蜡笔小新 2023-10-10 14:33:07
ip
ELKDefine Mutilple Pipelines For Logstash

Logstash有一个对初学者来说很大的坑，就是安装之后直接运行，它将默认只使用一个pipeline，把conf.d下面的配置文件一次全加 ... [详细]

蜡笔小新 2023-09-25 09:12:29
text
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
php
PHP设置MySQL字符集的方法及使用mysqli_set_charset函数

本文介绍了PHP设置MySQL字符集的方法，详细介绍了使用mysqli_set_charset函数来规定与数据库服务器进行数据传送时要使用的字符集。通过示例代码演示了如何设置默认客户端字符集。 ... [详细]

蜡笔小新 2023-12-14 15:30:33
ip
Java工具类库Hutool介绍及功能概述

本文介绍了Java工具类库Hutool，该工具包封装了对文件、流、加密解密、转码、正则、线程、XML等JDK方法的封装，并提供了各种Util工具类。同时，还介绍了Hutool的组件，包括动态代理、布隆过滤、缓存、定时任务等功能。该工具包可以简化Java代码，提高开发效率。 ... [详细]

蜡笔小新 2023-12-14 14:29:36
datetime
阿里云物联网 .NET Core 客户端 | CZGL.AliIoTClient：4. 设备上报属性

阿,里,云,物,联网,net,core,客户端,czgl,aliiotclient, ... [详细]

蜡笔小新 2023-12-14 12:40:20
go
Hyperledger Fabric外部链码构建与运行的开发笔记

本文介绍了Hyperledger Fabric外部链码构建与运行的相关知识，包括在Hyperledger Fabric 2.0版本之前链码构建和运行的困难性，外部构建模式的实现原理以及外部构建和运行API的使用方法。通过本文的介绍，读者可以了解到如何利用外部构建和运行的方式来实现链码的构建和运行，并且不再受限于特定的语言和部署环境。 ... [详细]

蜡笔小新 2023-12-13 21:47:39

我的

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章