Logstash参考指南（配置文件的结构）

Logstash配置文件为要添加到事件处理管道的每种插件都有一个单独的部分&＃xff0c;例如&＃xff1a;

# This is a comment. You should use comments to describe
# parts of your configuration.
input {...
}filter {...
}output {...
}

每个部分都包含一个或多个插件的配置选项&＃xff0c;如果指定多个过滤器&＃xff0c;它们将按照配置文件中它们的出现顺序应用。

插件配置

插件的配置由插件名称和插件的设置块组成&＃xff0c;例如&＃xff0c;这个输入部分配置两个文件输入&＃xff1a;

input {file {path &＃61;> "/var/log/messages"type &＃61;> "syslog"}file {path &＃61;> "/var/log/apache/access.log"type &＃61;> "apache"}
}

在本例中&＃xff0c;为每个文件输入配置了两个设置&＃xff1a;路径和类型。

你可以根据插件类型配置不同的设置&＃xff0c;有关每个插件的信息&＃xff0c;请参阅输入插件、输出插件、过滤器插件和编解码器插件。

值类型

插件可以要求设置的值是某种类型&＃xff0c;例如boolean、list或hash&＃xff0c;支持下列值类型。

Array

这种类型现在大多不赞成使用标准类型&＃xff0c;比如string&＃xff0c;使用插件定义:list &＃61;> true属性&＃xff0c;以便更好地进行类型检查&＃xff0c;它仍然需要处理不需要类型检查的hash或混合类型列表。

例如&＃xff1a;

users &＃61;> [ {id &＃61;> 1, name &＃61;> bob}, {id &＃61;> 2, name &＃61;> jane} ]

Lists

它本身不是一个类型&＃xff0c;但是属性类型可以有&＃xff0c;这使得键入检查多个值成为可能&＃xff0c;插件检查可以通过在声明参数时指定:list &＃61;> true来启用列表检查。

例如&＃xff1a;

path &＃61;> [ "/var/log/messages", "/var/log/*.log" ]
uris &＃61;> [ "http://elastic.co", "http://example.net" ]

这个示例配置path&＃xff0c;它是一个包含两个字符串并且每个元素是string的列表&＃xff0c;它还将uris参数配置为URI列表&＃xff0c;如果提供的任何uri都无效&＃xff0c;则会失败。

Boolean

Boolean必须为true或false&＃xff0c;注意&＃xff0c;true和false关键字不包含在引号中。

例如&＃xff1a;

ssl_enable &＃61;> true

Bytes

Bytes字段是表示有效字节单位的字符串字段&＃xff0c;在插件选项中声明特定大小是一种方便的方法&＃xff0c;SI&＃xff08;k M G T P E Z Y&＃xff09;和二进制&＃xff08;Ki Mi Gi Ti Pi Ei Zi Yi&＃xff09;单位都支持&＃xff0c;二进制单位基于1024&＃xff0c;SI单位基于1000&＃xff0c;该字段不区分大小写并且接受值和单位之间的空格&＃xff0c;如果没有指定单位&＃xff0c;则整数字符串表示字节数。

例如&＃xff1a;

my_bytes &＃61;> "1113" # 1113 bytes
my_bytes &＃61;> "10MiB" # 10485760 bytes
my_bytes &＃61;> "100kib" # 102400 bytes
my_bytes &＃61;> "180 mb" # 180000000 bytes

Codec

Codec是用来表示数据的Logstash编解码器的名称&＃xff0c;编解码器可用于输入和输出。

输入编解码器提供了一种方便的方式解码你的数据在输入之前&＃xff0c;输出编解码器提供了一种在数据离开输出之前对其进行编码的方便方法&＃xff0c;使用输入或输出编解码器消除了在你的Logstash管道中需要单独的过滤器。

可用的编解码器的列表可以在编解码器插件页找到。

例如&＃xff1a;

codec &＃61;> "json"

Hash

Hash是一个键值对的集合&＃xff0c;格式为“field1” &＃61;> “value1”&＃xff0c;注意&＃xff0c;多个键值条目用空格而不是逗号分隔。

例如&＃xff1a;

match &＃61;> {"field1" &＃61;> "value1""field2" &＃61;> "value2"...
}

Number

Number必须是有效的数值&＃xff08;浮点数或整数&＃xff09;。

例如&＃xff1a;

port &＃61;> 33

Password

密码是一个不记录或打印的单个值的字符串。

例如&＃xff1a;

my_password &＃61;> "password"

URI

URI可以是完整URL&＃xff08;如http://elastic.co/to&＃xff09;或简单标识符&＃xff08;如foobar&＃xff09;的任何内容&＃xff0c;如果URI包含像http://user:pass&＃64;example.net这样的密码&＃xff0c;URI的密码部分将不会被记录或打印。

例如&＃xff1a;

my_uri &＃61;> "http://foo:bar&＃64;example.net"

Path

Path是表示有效操作系统路径的字符串。

例如&＃xff1a;

my_path &＃61;> "/tmp/logstash"

String

String必须是单个字符序列&＃xff0c;注意&＃xff0c;字符串值用引号括起来&＃xff0c;可以是双引号&＃xff0c;也可以是单引号。

转义序列

默认情况下&＃xff0c;不启用转义序列&＃xff0c;如果你希望在引号中的字符串中使用转义序列&＃xff0c;你将需要在你的logstash.yml中设置config.support_escapes: true&＃xff0c;当为true时&＃xff0c;双引号字符串&＃xff08;双引号和单引号&＃xff09;将有这样的转换&＃xff1a;

例如&＃xff1a;

name &＃61;> "Hello world"
name &＃61;> &＃39;It\&＃39;s a beautiful day&＃39;

注释

注释与perl、ruby和python中的注释相同&＃xff0c;注释以#字符开头&＃xff0c;不需要在行首&＃xff0c;例如&＃xff1a;

# this is a commentinput { # comments can appear at the end of a line, too# ...
}