有关Logstash的笔记

安装Logstash

1. 安装前提:Logstash需要java.所以需要首先安装java7或以上版本.使用oracle的java或者开源的Openjdk均可以参考这里.
2. 开始安装,我的系统是Ubuntu 16.04.发现通过deb形式安装或者通过 配置仓库安装之后.均不太好找到Logstash的执行文件,且执行下面的命令时会报错.所以我通过下载并解压缩tar.gz包的方式进行安装,tar.gz安装包下载地址见这里.下载解压即可完成.
3. 运行 通过以下方式运行:

cd logstash-5.0.0-alpha3/
bin/logstash -e 'input{stdin{}}output{stdout{codec=>rubydebug}}'

然后会发现终端在等待输入.敲入Hello并回车

--- jar coordinate com.fasterxml.jackson.core:jackson-annotations already loaded with version 2.7.1 - omit version 2.7.0
--- jar coordinate com.fasterxml.jackson.core:jackson-databind already loaded with version 2.7.1 - omit version 2.7.1-1
Pipeline main started
Hello
{
    "@timestamp" => 2016-06-28T05:46:23.334Z,
      "@version" => "1",
          "host" => "QT-jiakunliu",
       "message" => "Hello"
}

语法

(1) 区域(section):Logstash 用 {} 来定义区域。区域内可以包括插件区域定义，你可以在一个区域内定义多个插件。插件区域内则可以定义键值对设置。示例如下:

input {
 stdin {}
    syslog {}
}

(2) 数据类型:Logstash 支持少量的数据值类型:
bool

debug=>true

string

host=>"hostname"

number

port => 514

array

match => ["datetime", "UNIX", "ISO8601"]

hash

optiOns=> {
    key1 => "value1",
    key2 => "value2"
}

(3) 字段引用(field reference):字段是 Logstash::Event 对象的属性。我们之前提过事件就像一个哈希一样，所以你可以想象字段就像一个键值对。如果你想在 Logstash 配置中使用字段的值，只需要把字段的名字写在中括号 [] 里就行了，这就叫字段引用。对于 嵌套字段(也就是多维哈希表，或者叫哈希的哈希)，每层的字段名都写在 [] 里就可以了.logstash 的数组也支持倒序下标以及变量内插

[geoip][location][0]
[geoip][location][-1]
"the longitude is %{[geoip][location][0]}"

(4) 条件判断(condition)
表达式支持下面这些操作符：

• ==(等于), !=(不等于), <(小于), >(大于), <=(小于等于), >=(大于等于)
• =~(匹配正则), !~（不匹配正则）
• in(包含), not in(不包含)
• and(与), or(或), nand(非与), xor(非或)
• ()(复合表达式), !()(对复合表达式结果取反)

通常来说，你都会在表达式里用到字段引用。为了尽量展示全面各种表达式，下面虚拟一个示例：

if "_grokparsefailure" not in [tags] {
} else if [status] !~ /^2\d\d/ or ( [url] == "/noc.gif" nand [geoip][city] != "beijing" ) {
} else {
}

(5) 命令行参数
Logstash 提供了一个 shell 脚本叫 logstash 方便快速运行。它支持参数:

• -e
  意即执行。我们在 “Hello” 的时候已经用过这个参数了。事实上你可以不写任何具体配置，直接运行 bin/logstash -e ” 达到相同效果。因为这个参数的默认值是下面这样：

input {
 stdin { }
}
output {
 stdout { }
}

• –config 或 -f
  意即文件。真实运用中，我们会写很长的配置，甚至可能超过 shell 所能支持的 1024 个字符长度。所以我们必把配置固化到文件里，然后通过 bin/logstash -f agent.conf 这样的形式来运行。此外，logstash 还提供一个方便我们规划和书写配置的小功能。你可以直接用 bin/logstash -f /etc/logstash.d/ 来运行。logstash 会自动读取 /etc/logstash.d/ 目录下所有 *.conf 的文本文件，然后在自己内存里拼接成一个完整的大配置文件，再去执行。
  注意
  logstash 列出目录下所有文件时，是字母排序的。而 logstash 配置段的 filter 和 output 都是顺序执行，所以顺序非常重要。采用多文件管理的用户，推荐采用数字编号方式命名配置文件，同时在配置中，严谨采用 if 判断限定不同日志的动作。
• –configtest 或 -t
  意即测试。用来测试 Logstash 读取到的配置文件语法是否能正常解析。Logstash 配置语法是用 grammar.treetop 定义的。尤其是使用了上一条提到的读取目录方式的读者，尤其要提前测试。
• –log或-l
  意即日志。Logstash 默认输出日志到标准错误。生产环境下你可以通过 bin/logstash -l logs/logstash.log 命令来统一存储日志。
• –pipeline-workers 或 -w
  运行 filter 和 output 的 pipeline 线程数量。默认是 CPU 核数.
• –pipeline-batch-size 或 -b
  每个 Logstash pipeline 线程，在执行具体的 filter 和 output 函数之前，最多能累积的日志条数。默认是 125 条。越大性能越好，同样也会消耗越多的 JVM 内存。
• –pipeline-batch-delay 或 -u
  每个 Logstash pipeline 线程，在打包批量日志的时候，最多等待几毫秒。默认是 5 ms。+
• –pluginpath 或 -P
  可以写自己的插件，然后用 bin/logstash –pluginpath /path/to/own/plugins 加载它们。
• –verbose
  输出一定的调试日志。
• –debug
  输出更多的调试日志。
  (6) 设置文件:从 Logstash 5.0 开始，新增了 $LS_HOME/config/logstash.yml 文件，可以将所有的命令行参数都通过 YAML 文件方式设置。

Grok正则捕获

使用正则表达式匹配文本片段:

(?the pattern here)

正则表达式语法 比如下面这样:

\s+(?\d+(?:\.\d+)?)\s+

注意 \s表示匹配空白符(空格,tab,换行,换页和回车);(?:pattern)表示匹配pattern但不获取匹配结果，也就是说这是一个非获取匹配，不进行存储供以后使用。