Logstash - Guide rapide
Logstash est un outil basé sur les modèles de filtres / canaux pour collecter, traiter et générer les journaux ou événements. Il aide à centraliser et à analyser en temps réel les journaux et les événements de différentes sources.
Logstash est écrit sur le langage de programmation JRuby qui s'exécute sur la JVM, vous pouvez donc exécuter Logstash sur différentes plates-formes. Il collecte différents types de données comme les journaux, les paquets, les événements, les transactions, les données d'horodatage, etc., à partir de presque tous les types de sources. La source de données peut être les données sociales, le commerce électronique, les articles de presse, le CRM, les données de jeu, les tendances Web, les données financières, l'Internet des objets, les appareils mobiles, etc.
Caractéristiques générales de Logstash
Les caractéristiques générales de Logstash sont les suivantes -
Logstash peut collecter des données à partir de différentes sources et les envoyer vers plusieurs destinations.
Logstash peut gérer tous les types de données de journalisation comme les journaux Apache, les journaux d'événements Windows, les données sur les protocoles réseau, les données d'entrée standard et bien d'autres.
Logstash peut également gérer les requêtes http et les données de réponse.
Logstash fournit une variété de filtres, qui aident l'utilisateur à trouver plus de sens dans les données en les analysant et en les transformant.
Logstash peut également être utilisé pour gérer les données des capteurs dans l'Internet des objets.
Logstash est open source et disponible sous la licence Apache version 2.0.
Concepts clés de Logstash
Les concepts clés de Logstash sont les suivants -
Objet d'événement
Il s'agit de l'objet principal de Logstash, qui encapsule le flux de données dans le pipeline Logstash. Logstash utilise cet objet pour stocker les données d'entrée et ajouter des champs supplémentaires créés lors de l'étape de filtrage.
Logstash propose une API d'événement aux développeurs pour manipuler les événements. Dans ce didacticiel, cet événement est désigné sous différents noms tels que l'événement de données de journalisation, l'événement de journal, les données de journal, les données de journal d'entrée, les données de journal de sortie, etc.
Pipeline
Il comprend des étapes de flux de données dans Logstash, de l'entrée à la sortie. Les données d'entrée sont saisies dans le pipeline et traitées sous la forme d'un événement. Envoie ensuite à une destination de sortie au format souhaité par l'utilisateur ou le système final.
Contribution
Il s'agit de la première étape du pipeline Logstash, qui est utilisé pour obtenir les données dans Logstash pour un traitement ultérieur. Logstash propose divers plugins pour obtenir des données de différentes plates-formes. Certains des plugins les plus couramment utilisés sont - File, Syslog, Redis et Beats.
Filtre
C'est la phase intermédiaire de Logstash, où le traitement réel des événements a lieu. Un développeur peut utiliser des modèles Regex prédéfinis de Logstash pour créer des séquences permettant de différencier les champs des événements et les critères des événements d'entrée acceptés.
Logstash propose divers plugins pour aider le développeur à analyser et à transformer les événements en une structure souhaitable. Certains des plugins de filtre les plus couramment utilisés sont: Grok, Mutate, Drop, Clone et Geoip.
Production
Il s'agit de la dernière étape du pipeline Logstash, où les événements de sortie peuvent être formatés dans la structure requise par les systèmes de destination. Enfin, il envoie l'événement de sortie après un traitement complet à la destination à l'aide de plugins. Certains des plugins les plus couramment utilisés sont - Elasticsearch, File, Graphite, Statsd, etc.
Avantages de Logstash
Les points suivants expliquent les différents avantages de Logstash.
Logstash propose des séquences de modèles d'expression régulière pour identifier et analyser les différents champs dans tout événement d'entrée.
Logstash prend en charge divers serveurs Web et sources de données pour l'extraction des données de journalisation.
Logstash fournit plusieurs plugins pour analyser et transformer les données de journalisation dans n'importe quel format souhaité par l'utilisateur.
Logstash est centralisé, ce qui facilite le traitement et la collecte de données à partir de différents serveurs.
Logstash prend en charge de nombreuses bases de données, protocoles réseau et autres services comme source de destination pour les événements de journalisation.
Logstash utilise le protocole HTTP, qui permet à l'utilisateur de mettre à niveau les versions d'Elasticsearch sans avoir à mettre à niveau Logstash lors d'une étape de verrouillage.
Inconvénients de Logstash
Les points suivants expliquent les différents inconvénients de Logstash.
Logstash utilise http, ce qui affecte négativement le traitement des données de journalisation.
Travailler avec Logstash peut parfois être un peu complexe, car il nécessite une bonne compréhension et une bonne analyse des données de journalisation d'entrée.
Les plugins de filtrage ne sont pas génériques, il se peut donc que l'utilisateur doive trouver la séquence correcte de modèles pour éviter une erreur d'analyse.
Dans le chapitre suivant, nous comprendrons ce qu'est la pile ELK et comment elle aide Logstash.
ELK signifie Elasticsearch, Logstash, et Kibana. Dans la pile ELK, Logstash extrait les données de journalisation ou d'autres événements à partir de différentes sources d'entrée. Il traite les événements et les stocke ultérieurement dans Elasticsearch. Kibana est une interface Web, qui accède au formulaire de données de journalisation Elasticsearch et le visualise.
Logstash et Elasticsearch
Logstash fournit un plugin Elasticsearch d'entrée et de sortie pour lire et écrire des événements de journal dans Elasticsearch. Elasticsearch comme destination de sortie est également recommandé par Elasticsearch Company en raison de sa compatibilité avec Kibana. Logstash envoie les données à Elasticsearch via le protocole http.
Elasticsearch fournit une fonction de téléchargement en masse, qui permet de télécharger les données de différentes sources ou instances Logstash vers un moteur Elasticsearch centralisé. ELK présente les avantages suivants par rapport aux autres solutions DevOps -
La pile ELK est plus facile à gérer et peut être mise à l'échelle pour gérer des pétaoctets d'événements.
L'architecture de la pile ELK est très flexible et permet une intégration avec Hadoop. Hadoop est principalement utilisé à des fins d'archivage. Logstash peut être directement connecté à Hadoop à l'aide de flume et Elasticsearch fournit un connecteur nommées-hadoop pour vous connecter avec Hadoop.
Le coût total de possession d'ELK est bien moindre que ses alternatives.
Logstash et Kibana
Kibana n'interagit pas directement avec Logstash mais via une source de données, qui est Elasticsearch dans la pile ELK. Logstash collecte les données de chaque source et Elasticsearch les analyse à une vitesse très rapide, puis Kibana fournit des informations exploitables sur ces données.
Kibana est un outil de visualisation basé sur le Web, qui aide les développeurs et autres à analyser les variations de grandes quantités d'événements collectées par Logstash dans le moteur Elasticsearch. Cette visualisation facilite la prévision ou la visualisation des changements de tendances des erreurs ou d'autres événements importants de la source d'entrée.
Pour installer Logstash sur le système, nous devons suivre les étapes ci-dessous -
Step 1- Vérifiez la version de votre Java installée sur votre ordinateur; il devrait s'agir de Java 8 car il n'est pas compatible avec Java 9. Vous pouvez le vérifier en -
Dans un système d'exploitation Windows (OS) (à l'aide de l'invite de commande) -
> java -version
Sous UNIX OS (à l'aide du terminal) -
$ echo $JAVA_HOME
Step 2 - Téléchargez Logstash depuis -
https://www.elastic.co/downloads/logstash.
Pour le système d'exploitation Windows, téléchargez le fichier ZIP.
Pour UNIX OS, téléchargez le fichier TAR.
Pour le système d'exploitation Debian, téléchargez le fichier DEB.
Pour Red Hat et les autres distributions Linux, téléchargez le fichier RPN.
Les utilitaires APT et Yum peuvent également être utilisés pour installer Logstash dans de nombreuses distributions Linux.
Step 3- Le processus d'installation de Logstash est très simple. Voyons comment vous pouvez installer Logstash sur différentes plates-formes.
Note - Ne mettez aucun espace ou deux-points dans le dossier d'installation.
Windows OS - Décompressez le package zip et Logstash est installé.
UNIX OS - Extrayez le fichier tar à n'importe quel endroit et Logstash est installé.
$tar –xvf logstash-5.0.2.tar.gz
Using APT utility for Linux OS −
- Téléchargez et installez la clé de signature publique -
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
- Enregistrez la définition du référentiel -
$ echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo
tee -a /etc/apt/sources.list.d/elastic-5.x.list
- Exécuter la mise à jour -
$ sudo apt-get update
- Vous pouvez maintenant installer en utilisant la commande suivante -
$ sudo apt-get install logstash
Using YUM utility for Debian Linux OS -
- Téléchargez et installez la clé de signature publique -
$ rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
Ajoutez le texte suivant dans le fichier avec le suffixe .repo dans votre o répertoire «/etc/yum.repos.d/». Par exemple,logstash.repo
[logstash-5.x]
name = Elastic repository for 5.x packages
baseurl = https://artifacts.elastic.co/packages/5.x/yum
gpgcheck = 1
gpgkey = https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled = 1
autorefresh = 1
type = rpm-md
- Vous pouvez maintenant installer Logstash en utilisant la commande suivante -
$ sudo yum install logstash
Step 4- Accédez au répertoire de base de Logstash. Dans le dossier bin, exécutez leelasticsearch.batfichier en cas de fenêtres ou vous pouvez faire de même en utilisant l'invite de commande et via le terminal. Sous UNIX, exécutez le fichier Logstash.
Nous devons spécifier la source d'entrée, la source de sortie et les filtres optionnels. Pour vérifier l'installation, vous pouvez l'exécuter avec la configuration de base en utilisant un flux d'entrée standard (stdin) comme source d'entrée et un flux de sortie standard (stdout) comme source de sortie. Vous pouvez également spécifier la configuration dans la ligne de commande en utilisant–e option.
In Windows −
> cd logstash-5.0.1/bin
> Logstash -e 'input { stdin { } } output { stdout {} }'
In Linux −
$ cd logstash-5.0.1/bin
$ ./logstash -e 'input { stdin { } } output { stdout {} }'
Note- dans le cas de Windows, vous pourriez obtenir une erreur indiquant que JAVA_HOME n'est pas défini. Pour cela, définissez-le dans les variables d'environnement sur «C: \ Program Files \ Java \ jre1.8.0_111» ou sur l'emplacement où vous avez installé java.
Step 5 - Les ports par défaut de l'interface Web Logstash sont de 9600 à 9700 sont définis dans le logstash-5.0.1\config\logstash.yml comme le http.port et il récupérera le premier port disponible dans la plage donnée.
Nous pouvons vérifier si le serveur Logstash est opérationnel en naviguant http://localhost:9600ou si le port est différent, veuillez vérifier l'invite de commande ou le terminal. Nous pouvons voir le port attribué comme «Point de terminaison API Logstash démarré avec succès {: port ⇒ 9600}. Il renverra un objet JSON, qui contient les informations sur le Logstash installé de la manière suivante -
{
"host":"manu-PC",
"version":"5.0.1",
"http_address":"127.0.0.1:9600",
"build_date":"2016-11-11T22:28:04+00:00",
"build_sha":"2d8d6263dd09417793f2a0c6d5ee702063b5fada",
"build_snapshot":false
}
Dans ce chapitre, nous aborderons l'architecture interne et les différents composants de Logstash.
Architecture du service Logstash
Logstash traite les journaux de différents serveurs et sources de données et se comporte comme l'expéditeur. Les expéditeurs sont utilisés pour collecter les journaux et ceux-ci sont installés dans chaque source d'entrée. Les courtiers aimentRedis, Kafka ou RabbitMQ sont des tampons pour contenir les données des indexeurs, il peut y avoir plusieurs courtiers en tant qu'instances basculées.
Indexeurs comme Lucenesont utilisés pour indexer les journaux pour de meilleures performances de recherche, puis la sortie est stockée dans Elasticsearch ou dans une autre destination de sortie. Les données du stockage de sortie sont disponibles pour Kibana et d'autres logiciels de visualisation.
Architecture interne de Logstash
Le pipeline Logstash se compose de trois composants Input, Filters et Output. La partie d'entrée est chargée de spécifier et d'accéder à la source de données d'entrée telle que le dossier journal duApache Tomcat Server.
Exemple pour expliquer le pipeline Logstash
Le fichier de configuration Logstash contient les détails sur les trois composants de Logstash. Dans ce cas, nous créons un nom de fichier appeléLogstash.conf.
La configuration suivante capture les données d'un journal d'entrée «inlog.log» et les écrit dans un journal de sortie «outlog.log» sans aucun filtre.
Logstash.conf
Le fichier de configuration Logstash copie simplement les données du inlog.log fichier à l'aide du plug-in d'entrée et vide les données du journal vers outlog.log fichier en utilisant le plugin de sortie.
input {
file {
path => "C:/tpwork/logstash/bin/log/inlog.log"
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/outlog.log"
}
}
Exécutez Logstash
Logstash utilise –f option pour spécifier le fichier de configuration.
C:\logstash\bin> logstash –f logstash.conf
inlog.log
Le bloc de code suivant montre les données du journal d'entrée.
Hello tutorialspoint.com
outlog.log
La sortie Logstash contient les données d'entrée dans le champ de message. Logstash ajoute également d'autres champs à la sortie comme l'horodatage, le chemin de la source d'entrée, la version, l'hôte et les balises.
{
"path":"C:/tpwork/logstash/bin/log/inlog1.log",
"@timestamp":"2016-12-13T02:28:38.763Z",
"@version":"1", "host":"Dell-PC",
"message":" Hello tutorialspoint.com", "tags":[]
}
Comme vous le pouvez, la sortie de Logstash contient plus que les données fournies via le journal d'entrée. La sortie contient le chemin source, l'horodatage, la version, le nom d'hôte et la balise, qui sont utilisés pour représenter les messages supplémentaires tels que les erreurs.
Nous pouvons utiliser des filtres pour traiter les données et les rendre utiles à nos besoins. Dans l'exemple suivant, nous utilisons un filtre pour obtenir les données, ce qui limite la sortie aux seules données avec un verbe comme GET ou POST suivi d'unUnique Resource Identifier.
Logstash.conf
Dans cette configuration Logstash, nous ajoutons un filtre nommé grokpour filtrer les données d'entrée. L'événement du journal d'entrée, qui correspond au journal d'entrée de la séquence de modèles, n'atteint que la destination de sortie avec une erreur. Logstash ajoute une balise nommée "_grokparsefailure" dans les événements de sortie, qui ne correspond pas à la séquence de motifs de filtre Grok.
Logstash propose de nombreux modèles de regex intégrés pour analyser les journaux de serveur populaires comme Apache. Le modèle utilisé ici attend un verbe comme get, post, etc., suivi d'un identifiant de ressource uniforme.
input {
file {
path => "C:/tpwork/logstash/bin/log/inlog2.log"
}
}
filter {
grok {
match => {"message" => "%{WORD:verb} %{URIPATHPARAM:uri}"}
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/outlog2.log"
}
}
Exécutez Logstash
Nous pouvons exécuter Logstash en utilisant la commande suivante.
C:\logstash\bin> logstash –f Logstash.conf
inlog2.log
Notre fichier d'entrée contient deux événements séparés par un délimiteur par défaut, c'est-à-dire un délimiteur de nouvelle ligne. Le premier événement correspond au modèle spécifié dans GROk et le second non.
GET /tutorialspoint/Logstash
Input 1234
outlog2.log
Nous pouvons voir que le deuxième événement de sortie contient la balise "_grokparsefailure", car il ne correspond pas au modèle de filtre Grok. L'utilisateur peut également supprimer ces événements sans correspondance dans la sortie en utilisant le‘if’ condition dans le plugin de sortie.
{
"path":"C:/tpwork/logstash/bin/log/inlog2.log",
"@timestamp":"2016-12-13T02:47:10.352Z","@version":"1","host":"Dell-PC","verb":"GET",
"message":"GET /tutorialspoint/logstash", "uri":"/tutorialspoint/logstash", "tags":[]
}
{
"path":"C:/tpwork/logstash/bin/log/inlog2.log",
"@timestamp":"2016-12-13T02:48:12.418Z", "@version":"1", "host":"Dell-PC",
"message":"t 1234\r", "tags":["_grokparsefailure"]
}
Les journaux de différents serveurs ou sources de données sont collectés à l'aide des expéditeurs. Un expéditeur est une instance de Logstash installée sur le serveur, qui accède aux journaux du serveur et les envoie à un emplacement de sortie spécifique.
Il envoie principalement la sortie à Elasticsearch pour le stockage. Logstash prend les entrées des sources suivantes -
- STDIN
- Syslog
- Files
- TCP/UDP
- Journaux d'événements Microsoft Windows
- Websocket
- Zeromq
- Extensions personnalisées
Collecte de journaux à l'aide du serveur Apache Tomcat 7
Dans cet exemple, nous collectons les journaux du serveur Apache Tomcat 7 installé dans Windows à l'aide du plug-in d'entrée de fichier et les envoyons à l'autre journal.
logstash.conf
Ici, Logstash est configuré pour accéder au journal d'accès d'Apache Tomcat 7 installé localement. Un modèle regex est utilisé dans la définition du chemin du plugin de fichier pour obtenir les données du fichier journal. Celui-ci contient «accès» dans son nom et ajoute un type apache, ce qui aide à différencier les événements apache des autres dans une source de destination centralisée. Enfin, les événements de sortie seront affichés dans le fichier output.log.
input {
file {
path => "C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/*access*"
type => "apache"
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
}
}
Exécutez Logstash
Nous pouvons exécuter Logstash en utilisant la commande suivante.
C:\logstash\bin> logstash –f Logstash.conf
Journal Apache Tomcat
Accédez au serveur Apache Tomcat et à ses applications Web (http://localhost:8080) pour générer des journaux. Les données mises à jour dans les journaux sont lues par Logstash en temps réel et stockées dans output.log comme spécifié dans le fichier de configuration.
Apache Tomcat génère un nouveau fichier journal d'accès en fonction de la date et y consigne les événements d'accès. Dans notre cas, c'était localhost_access_log.2016-12-24.txt dans lelogs répertoire d'Apache Tomcat.
0:0:0:0:0:0:0:1 - - [
25/Dec/2016:18:37:00 +0800] "GET / HTTP/1.1" 200 11418
0:0:0:0:0:0:0:1 - munish [
25/Dec/2016:18:37:02 +0800] "GET /manager/html HTTP/1.1" 200 17472
0:0:0:0:0:0:0:1 - - [
25/Dec/2016:18:37:08 +0800] "GET /docs/ HTTP/1.1" 200 19373
0:0:0:0:0:0:0:1 - - [
25/Dec/2016:18:37:10 +0800] "GET /docs/introduction.html HTTP/1.1" 200 15399
output.log
Vous pouvez voir dans les événements de sortie, un champ de type est ajouté et l'événement est présent dans le champ de message.
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
localhost_access_log.2016-12-25.txt",
"@timestamp":"2016-12-25T10:37:00.363Z","@version":"1","host":"Dell-PC",
"message":"0:0:0:0:0:0:0:1 - - [25/Dec/2016:18:37:00 +0800] \"GET /
HTTP/1.1\" 200 11418\r","type":"apache","tags":[]
}
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
localhost_access_log.2016-12-25.txt","@timestamp":"2016-12-25T10:37:10.407Z",
"@version":"1","host":"Dell-PC",
"message":"0:0:0:0:0:0:0:1 - munish [25/Dec/2016:18:37:02 +0800] \"GET /
manager/html HTTP/1.1\" 200 17472\r","type":"apache","tags":[]
}
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
localhost_access_log.2016-12-25.txt","@timestamp":"2016-12-25T10:37:10.407Z",
"@version":"1","host":"Dell-PC",
"message":"0:0:0:0:0:0:0:1 - - [25/Dec/2016:18:37:08 +0800] \"GET /docs/
HTTP/1.1\" 200 19373\r","type":"apache","tags":[]
}
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
localhost_access_log.2016-12-25.txt","@timestamp":"2016-12-25T10:37:20.436Z",
"@version":"1","host":"Dell-PC",
"message":"0:0:0:0:0:0:0:1 - - [25/Dec/2016:18:37:10 +0800] \"GET /docs/
introduction.html HTTP/1.1\" 200 15399\r","type":"apache","tags":[]
}
Collecte de journaux à l'aide du plug-in STDIN
Dans cette section, nous aborderons un autre exemple de collecte de journaux à l'aide de STDIN Plugin.
logstash.conf
C'est un exemple très simple, où Logstash lit les événements saisis par l'utilisateur dans une entrée standard. Dans notre cas, c'est l'invite de commande, qui stocke les événements dans le fichier output.log.
input {
stdin{}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
}
}
Exécutez Logstash
Nous pouvons exécuter Logstash en utilisant la commande suivante.
C:\logstash\bin> logstash –f Logstash.conf
Écrivez le texte suivant dans l'invite de commande -
L'utilisateur a entré les deux lignes suivantes. Logstash sépare les événements par le paramètre de délimiteur et sa valeur par défaut est «\ n». L'utilisateur peut changer en changeant la valeur du délimiteur dans le plugin de fichier.
Tutorialspoint.com welcomes you
Simply easy learning
output.log
Le bloc de code suivant montre les données du journal de sortie.
{
"@timestamp":"2016-12-25T11:41:16.518Z","@version":"1","host":"Dell-PC",
"message":"tutrialspoint.com welcomes you\r","tags":[]
}
{
"@timestamp":"2016-12-25T11:41:53.396Z","@version":"1","host":"Dell-PC",
"message":"simply easy learning\r","tags":[]
}
Logstash prend en charge une vaste gamme de journaux provenant de différentes sources. Il fonctionne avec des sources célèbres comme expliqué ci-dessous.
Collecter les journaux à partir des métriques
Les événements système et autres activités temporelles sont enregistrés dans des métriques. Logstash peut accéder au journal à partir des métriques système et les traiter à l'aide de filtres. Cela permet de montrer à l'utilisateur le flux en direct des événements de manière personnalisée. Les métriques sont vidées selon leflush_interval settingde filtre de métriques et par défaut; il est réglé sur 5 secondes.
Nous suivons les métriques de test générées par Logstash, en rassemblant et en analysant les événements exécutés via Logstash et en affichant le flux en direct sur l'invite de commande.
logstash.conf
Cette configuration contient un plugin de générateur, qui est offert par Logstash pour les métriques de test et définit le paramètre de type sur «généré» pour l'analyse. Dans la phase de filtrage, nous ne traitons que les lignes avec un type généré en utilisant l'instruction «if». Ensuite, le plug-in de métrique compte le champ spécifié dans les paramètres du compteur. Le plug-in de métriques vide le décompte toutes les 5 secondes spécifiées dans leflush_interval.
Enfin, affichez les événements de filtre vers une sortie standard telle qu'une invite de commande à l'aide de codec pluginpour le formatage. Le plugin Codec utilise la valeur [ events ] [ rate_1m ] pour afficher les événements par seconde dans une fenêtre glissante d'une minute.
input {
generator {
type => "generated"
}
}
filter {
if [type] == "generated" {
metrics {
meter => "events"
add_tag => "metric"
}
}
}
output {
# only emit events with the 'metric' tag
if "metric" in [tags] {
stdout {
codec => line { format => "rate: %{[events][rate_1m]}"
}
}
}
Exécutez Logstash
Nous pouvons exécuter Logstash en utilisant la commande suivante.
>logsaths –f logstash.conf
stdout (invite de commande)
rate: 1308.4
rate: 1308.4
rate: 1368.654529135342
rate: 1416.4796003951449
rate: 1464.974293984808
rate: 1523.3119444107458
rate: 1564.1602979542715
rate: 1610.6496496890895
rate: 1645.2184750334154
rate: 1688.7768007612485
rate: 1714.652283095914
rate: 1752.5150680019278
rate: 1785.9432934744932
rate: 1806.912181962126
rate: 1836.0070454626025
rate: 1849.5669494173826
rate: 1871.3814756851832
rate: 1883.3443123790712
rate: 1906.4879113216743
rate: 1925.9420717997118
rate: 1934.166137658981
rate: 1954.3176526556897
rate: 1957.0107444542625
Collecter les journaux du serveur Web
Les serveurs Web génèrent un grand nombre de journaux concernant l'accès des utilisateurs et les erreurs. Logstash aide à extraire les journaux de différents serveurs à l'aide de plug-ins d'entrée et à les stocker dans un emplacement centralisé.
Nous extrayons les données du stderr logs du serveur Apache Tomcat local et en le plaçant dans le fichier output.log.
logstash.conf
Ce fichier de configuration Logstash demande à Logstash de lire les journaux d'erreurs Apache et d'ajouter une balise nommée «apache-error». Nous pouvons simplement l'envoyer au fichier output.log en utilisant le plugin de sortie de fichier.
input {
file {
path => "C:/Program Files/Apache Software Foundation/Tomcat 7.0 /logs/*stderr*"
type => "apache-error"
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
}
}
Exécutez Logstash
Nous pouvons exécuter Logstash en utilisant la commande suivante.
>Logstash –f Logstash.conf
Exemple de journal d'entrée
Ceci est l'exemple stderr log, qui génère lorsque les événements serveur se produisent dans Apache Tomcat.
C: \ Program Files \ Apache Software Foundation \ Tomcat 7.0 \ logs \ tomcat7-stderr.2016-12-25.log
Dec 25, 2016 7:05:14 PM org.apache.coyote.AbstractProtocol start
INFO: Starting ProtocolHandler ["http-bio-9999"]
Dec 25, 2016 7:05:14 PM org.apache.coyote.AbstractProtocol start
INFO: Starting ProtocolHandler ["ajp-bio-8009"]
Dec 25, 2016 7:05:14 PM org.apache.catalina.startup.Catalina start
INFO: Server startup in 823 ms
output.log
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
"@version":"1","host":"Dell-PC",
"message":"Dec 25, 2016 7:05:14 PM org.apache.coyote.AbstractProtocol start\r",
"type":"apache-error","tags":[]
}
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
"@version":"1","host":"Dell-PC",
"message":"INFO: Starting ProtocolHandler [
\"ajp-bio-8009\"]\r","type":"apache-error","tags":[]
}
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
"@version":"1","host":"Dell-PC",
"message":"Dec 25, 2016 7:05:14 PM org.apache.catalina.startup.Catalina start\r",
"type":"apache-error","tags":[]
}
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
"@version":"1","host":"Dell-PC",
"message":"INFO: Server startup in 823 ms\r","type":"apache-error","tags":[]
}
Collecter des journaux à partir de sources de données
Pour commencer, voyons comment configurer MySQL pour la journalisation. Ajoutez les lignes suivantes dansmy.ini file du serveur de base de données MySQL sous [mysqld].
Sous Windows, il est présent dans le répertoire d'installation de MySQL, qui se trouve dans -
C:\wamp\bin\mysql\mysql5.7.11
Sous UNIX, vous pouvez le trouver dans - /etc/mysql/my.cnf
general_log_file = "C:/wamp/logs/queries.log"
general_log = 1
logstash.conf
Dans ce fichier de configuration, le plugin de fichier est utilisé pour lire le journal MySQL et l'écrire dans le fichier ouput.log.
input {
file {
path => "C:/wamp/logs/queries.log"
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
}
}
queries.log
Il s'agit du journal généré par les requêtes exécutées dans la base de données MySQL.
2016-12-25T13:05:36.854619Z 2 Query select * from test1_users
2016-12-25T13:05:51.822475Z 2 Query select count(*) from users
2016-12-25T13:05:59.998942Z 2 Query select count(*) from test1_users
output.log
{
"path":"C:/wamp/logs/queries.log","@timestamp":"2016-12-25T13:05:37.905Z",
"@version":"1","host":"Dell-PC",
"message":"2016-12-25T13:05:36.854619Z 2 Query\tselect * from test1_users",
"tags":[]
}
{
"path":"C:/wamp/logs/queries.log","@timestamp":"2016-12-25T13:05:51.938Z",
"@version":"1","host":"Dell-PC",
"message":"2016-12-25T13:05:51.822475Z 2 Query\tselect count(*) from users",
"tags":[]
}
{
"path":"C:/wamp/logs/queries.log","@timestamp":"2016-12-25T13:06:00.950Z",
"@version":"1","host":"Dell-PC",
"message":"2016-12-25T13:05:59.998942Z 2 Query\tselect count(*) from test1_users",
"tags":[]
}
Logstash reçoit les journaux à l'aide de plugins d'entrée, puis utilise les plugins de filtrage pour analyser et transformer les données. L'analyse et la transformation des journaux sont effectuées en fonction des systèmes présents dans la destination de sortie. Logstash analyse les données de journalisation et transmet uniquement les champs obligatoires. Plus tard, ces champs sont transformés en la forme compatible et compréhensible du système de destination.
Comment analyser les journaux?
L'analyse des journaux est effectuée en utilisant le GROK (Représentation graphique des connaissances) et vous pouvez les trouver dans Github -
https://github.com/elastic/logstash/tree/v1.4.2/patterns.
Logstash fait correspondre les données des journaux avec un modèle GROK spécifié ou une séquence de modèles pour analyser les journaux comme "% {COMBINEDAPACHELOG}", qui est couramment utilisé pour les journaux Apache.
Les données analysées sont plus structurées et faciles à rechercher et à effectuer des requêtes. Logstash recherche les modèles GROK spécifiés dans les journaux d'entrée et extrait les lignes correspondantes des journaux. Vous pouvez utiliser le débogueur GROK pour tester vos modèles GROK.
La syntaxe d'un motif GROK est% {SYNTAX: SEMANTIC}. Le filtre Logstash GROK est écrit sous la forme suivante -
%{PATTERN:FieldName}
Ici, PATTERN représente le modèle GROK et le nom de champ est le nom du champ, qui représente les données analysées dans la sortie.
Par exemple, en utilisant le débogueur GROK en ligne https://grokdebug.herokuapp.com/
Contribution
Un exemple de ligne d'erreur dans un journal -
[Wed Dec 07 21:54:54.048805 2016] [:error] [pid 1234:tid 3456829102]
[client 192.168.1.1:25007] JSP Notice: Undefined index: abc in
/home/manu/tpworks/tutorialspoint.com/index.jsp on line 11
Séquence de motifs GROK
Cette séquence de modèles GROK correspond à l'événement du journal, qui comprend un horodatage suivi du niveau du journal, de l'ID de processus, de l'ID de transaction et d'un message d'erreur.
\[(%{DAY:day} %{MONTH:month} %{MONTHDAY} %{TIME} %{YEAR})\] \[.*:%{LOGLEVEL:loglevel}\]
\[pid %{NUMBER:pid}:tid %{NUMBER:tid}\] \[client %{IP:clientip}:.*\]
%{GREEDYDATA:errormsg}
production
La sortie est au format JSON.
{
"day": [
"Wed"
],
"month": [
"Dec"
],
"loglevel": [
"error"
],
"pid": [
"1234"
],
"tid": [
"3456829102"
],
"clientip": [
"192.168.1.1"
],
"errormsg": [
"JSP Notice: Undefined index: abc in
/home/manu/tpworks/tutorialspoint.com/index.jsp on line 11"
]
}
Logstash utilise des filtres au milieu du pipeline entre l'entrée et la sortie. Les filtres des mesures Logstash manipulent et créent des événements tels queApache-Access. De nombreux plugins de filtrage permettent de gérer les événements dans Logstash. Ici, dans un exemple duLogstash Aggregate Filter, nous filtrons la durée de chaque transaction SQL dans une base de données et calculons le temps total.
Installation du plug-in de filtre d'agrégat
Installation du plug-in de filtre d'agrégation à l'aide de l'utilitaire Logstash-plugin. Le plugin Logstash est un fichier batch pour Windows dansbin folder dans Logstash.
>logstash-plugin install logstash-filter-aggregate
logstash.conf
Dans cette configuration, vous pouvez voir trois instructions «if» pour Initializing, Incrementing, et generating la durée totale de la transaction, c'est-à-dire le sql_duration. Le plugin agrégat est utilisé pour ajouter le sql_duration, présent dans chaque événement du journal d'entrée.
input {
file {
path => "C:/tpwork/logstash/bin/log/input.log"
}
}
filter {
grok {
match => [
"message", "%{LOGLEVEL:loglevel} -
%{NOTSPACE:taskid} - %{NOTSPACE:logger} -
%{WORD:label}( - %{INT:duration:int})?"
]
}
if [logger] == "TRANSACTION_START" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] = 0"
map_action => "create"
}
}
if [logger] == "SQL" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] ||= 0 ;
map['sql_duration'] += event.get('duration')"
}
}
if [logger] == "TRANSACTION_END" {
aggregate {
task_id => "%{taskid}"
code => "event.set('sql_duration', map['sql_duration'])"
end_of_task => true
timeout => 120
}
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
}
}
Exécutez Logstash
Nous pouvons exécuter Logstash en utilisant la commande suivante.
>logstash –f logstash.conf
input.log
Le bloc de code suivant montre les données du journal d'entrée.
INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end
output.log
Comme spécifié dans le fichier de configuration, la dernière instruction «if» où le journal est - TRANSACTION_END, qui imprime la durée totale de la transaction ou sql_duration. Cela a été mis en évidence en jaune dans le fichier output.log.
{
"path":"C:/tpwork/logstash/bin/log/input.log","@timestamp": "2016-12-22T19:04:37.214Z",
"loglevel":"INFO","logger":"TRANSACTION_START","@version": "1","host":"wcnlab-PC",
"message":"8566 - TRANSACTION_START - start\r","tags":[]
}
{
"duration":320,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-22T19:04:38.366Z","loglevel":"INFO","logger":"SQL",
"@version":"1","host":"wcnlab-PC","label":"transaction1",
"message":" INFO - 48566 - SQL - transaction1 - 320\r","taskid":"48566","tags":[]
}
{
"duration":200,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-22T19:04:38.373Z","loglevel":"INFO","logger":"SQL",
"@version":"1","host":"wcnlab-PC","label":"transaction1",
"message":" INFO - 48566 - SQL - transaction1 - 200\r","taskid":"48566","tags":[]
}
{
"sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-22T19:04:38.380Z","loglevel":"INFO","logger":"TRANSACTION_END",
"@version":"1","host":"wcnlab-PC","label":"end",
"message":" INFO - 48566 - TRANSACTION_END - end\r","taskid":"48566","tags":[]
}
Logstash propose divers plugins pour transformer le journal analysé. Ces plugins peuventAdd, Delete, et Update champs dans les journaux pour une meilleure compréhension et interrogation dans les systèmes de sortie.
Nous utilisons le Mutate Plugin pour ajouter un nom de champ utilisateur dans chaque ligne du journal d'entrée.
Installez le plugin Mutate Filter
Pour installer le plugin de filtre mutate; nous pouvons utiliser la commande suivante.
>Logstash-plugin install Logstash-filter-mutate
logstash.conf
Dans ce fichier de configuration, le plug-in Mutate est ajouté après le plug-in d'agrégation pour ajouter un nouveau champ.
input {
file {
path => "C:/tpwork/logstash/bin/log/input.log"
}
}
filter {
grok {
match => [ "message", "%{LOGLEVEL:loglevel} -
%{NOTSPACE:taskid} - %{NOTSPACE:logger} -
%{WORD:label}( - %{INT:duration:int})?" ]
}
if [logger] == "TRANSACTION_START" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] = 0"
map_action => "create"
}
}
if [logger] == "SQL" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] ||= 0 ;
map['sql_duration'] += event.get('duration')"
}
}
if [logger] == "TRANSACTION_END" {
aggregate {
task_id => "%{taskid}"
code => "event.set('sql_duration', map['sql_duration'])"
end_of_task => true
timeout => 120
}
}
mutate {
add_field => {"user" => "tutorialspoint.com"}
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
}
}
Exécutez Logstash
Nous pouvons exécuter Logstash en utilisant la commande suivante.
>logstash –f logstash.conf
input.log
Le bloc de code suivant montre les données du journal d'entrée.
INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end
output.log
Vous pouvez voir qu'il existe un nouveau champ nommé «utilisateur» dans les événements de sortie.
{
"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-25T19:55:37.383Z",
"@version":"1",
"host":"wcnlab-PC",
"message":"NFO - 48566 - TRANSACTION_START - start\r",
"user":"tutorialspoint.com","tags":["_grokparsefailure"]
}
{
"duration":320,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-25T19:55:37.383Z","loglevel":"INFO","logger":"SQL",
"@version":"1","host":"wcnlab-PC","label":"transaction1",
"message":" INFO - 48566 - SQL - transaction1 - 320\r",
"user":"tutorialspoint.com","taskid":"48566","tags":[]
}
{
"duration":200,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-25T19:55:37.399Z","loglevel":"INFO",
"logger":"SQL","@version":"1","host":"wcnlab-PC","label":"transaction1",
"message":" INFO - 48566 - SQL - transaction1 - 200\r",
"user":"tutorialspoint.com","taskid":"48566","tags":[]
}
{
"sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-25T19:55:37.399Z","loglevel":"INFO",
"logger":"TRANSACTION_END","@version":"1","host":"wcnlab-PC","label":"end",
"message":" INFO - 48566 - TRANSACTION_END - end\r",
"user":"tutorialspoint.com","taskid":"48566","tags":[]
}
La sortie est la dernière étape du pipeline Logstash, qui envoie les données de filtre des journaux d'entrée vers une destination spécifiée. Logstash propose plusieurs plugins de sortie pour stocker les événements de journal filtrés dans différents moteurs de stockage et de recherche.
Stockage des journaux
Logstash peut stocker les journaux filtrés dans un File, Elasticsearch Engine, stdout, AWS CloudWatch, etc. Protocoles réseau comme TCP, UDP, Websocket peut également être utilisé dans Logstash pour transférer les événements du journal vers des systèmes de stockage distants.
Dans la pile ELK, les utilisateurs utilisent le moteur Elasticsearch pour stocker les événements du journal. Ici, dans l'exemple suivant, nous allons générer des événements de journal pour un moteur Elasticsearch local.
Installation du plug-in de sortie Elasticsearch
Nous pouvons installer le plugin de sortie Elasticsearch avec la commande suivante.
>logstash-plugin install Logstash-output-elasticsearch
logstash.conf
Ce fichier de configuration contient un plugin Elasticsearch, qui stocke l'événement de sortie dans Elasticsearch installé localement.
input {
file {
path => "C:/tpwork/logstash/bin/log/input.log"
}
}
filter {
grok {
match => [ "message", "%{LOGLEVEL:loglevel} -
%{NOTSPACE:taskid} - %{NOTSPACE:logger} -
%{WORD:label}( - %{INT:duration:int})?" ]
}
if [logger] == "TRANSACTION_START" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] = 0"
map_action => "create"
}
}
if [logger] == "SQL" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] ||= 0 ;
map['sql_duration'] += event.get('duration')"
}
}
if [logger] == "TRANSACTION_END" {
aggregate {
task_id => "%{taskid}"
code => "event.set('sql_duration', map['sql_duration'])"
end_of_task => true
timeout => 120
}
}
mutate {
add_field => {"user" => "tutorialspoint.com"}
}
}
output {
elasticsearch {
hosts => ["127.0.0.1:9200"]
}
}
Input.log
Le bloc de code suivant montre les données du journal d'entrée.
INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end
Démarrez Elasticsearch sur Localhost
Pour démarrer Elasticsearch sur l'hôte local, vous devez utiliser la commande suivante.
C:\elasticsearch\bin> elasticsearch
Une fois qu'Elasticsearch est prêt, vous pouvez le vérifier en tapant l'URL suivante dans votre navigateur.
http://localhost:9200/
Réponse
Le bloc de code suivant montre la réponse d'Elasticsearch sur localhost.
{
"name" : "Doctor Dorcas",
"cluster_name" : "elasticsearch",
"version" : {
"number" : "2.1.1",
"build_hash" : "40e2c53a6b6c2972b3d13846e450e66f4375bd71",
"build_timestamp" : "2015-12-15T13:05:55Z",
"build_snapshot" : false,
"lucene_version" : "5.3.1"
},
"tagline" : "You Know, for Search"
}
Note - Pour plus d'informations sur Elasticsearch, vous pouvez cliquer sur le lien suivant.
https://www.tutorialspoint.com/elasticsearch/index.html
Maintenant, exécutez Logstash avec le Logstash.conf mentionné ci-dessus
>Logstash –f Logstash.conf
Après avoir collé le texte mentionné ci-dessus dans le journal de sortie, ce texte sera stocké dans Elasticsearch by Logstash. Vous pouvez vérifier les données stockées en tapant l'URL suivante dans le navigateur.
http://localhost:9200/logstash-2017.01.01/_search?pretty
Réponse
Ce sont les données au format JSON stockées dans l'index Logstash-2017.01.01.
{
"took" : 20,
"timed_out" : false,
"_shards" : {
"total" : 5,
"successful" : 5,
"failed" : 0
},
"hits" : {
"total" : 10,
"max_score" : 1.0,
"hits" : [ {
"_index" : "logstash-2017.01.01",
"_type" : "logs",
"_id" : "AVlZ9vF8hshdrGm02KOs",
"_score" : 1.0,
"_source":{
"duration":200,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2017-01-01T12:17:49.140Z","loglevel":"INFO",
"logger":"SQL","@version":"1","host":"wcnlab-PC",
"label":"transaction1",
"message":" INFO - 48566 - SQL - transaction1 - 200\r",
"user":"tutorialspoint.com","taskid":"48566","tags":[]
}
},
{
"_index" : "logstash-2017.01.01",
"_type" : "logs",
"_id" : "AVlZ9vF8hshdrGm02KOt",
"_score" : 1.0,
"_source":{
"sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2017-01-01T12:17:49.145Z","loglevel":"INFO",
"logger":"TRANSACTION_END","@version":"1","host":"wcnlab-PC",
"label":"end",
"message":" INFO - 48566 - TRANSACTION_END - end\r",
"user":"tutorialspoint.com","taskid":"48566","tags":[]
}
}
}
}
Logstash fournit plusieurs plugins pour prendre en charge divers magasins de données ou moteurs de recherche. Les événements de sortie des journaux peuvent être envoyés à un fichier de sortie, à une sortie standard ou à un moteur de recherche comme Elasticsearch. Il existe trois types de sorties prises en charge dans Logstash, à savoir -
- Sortie standard
- Sortie de fichier
- Sortie nulle
Examinons maintenant chacun de ces éléments en détail.
Sortie standard (stdout)
Il est utilisé pour générer les événements de journal filtrés sous forme de flux de données vers l'interface de ligne de commande. Voici un exemple de génération de la durée totale d'une transaction de base de données vers stdout.
logstash.conf
Ce fichier de configuration contient un plugin de sortie stdout pour écrire la durée totale de sql_duration sur une sortie standard.
input {
file {
path => "C:/tpwork/logstash/bin/log/input.log"
}
}
filter {
grok {
match => [
"message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid}
- %{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?"
]
}
if [logger] == "TRANSACTION_START" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] = 0"
map_action => "create"
}
}
if [logger] == "SQL" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] ||= 0 ;
map['sql_duration'] += event.get('duration')"
}
}
if [logger] == "TRANSACTION_END" {
aggregate {
task_id => "%{taskid}"
code => "event.set('sql_duration', map['sql_duration'])"
end_of_task => true
timeout => 120
}
}
}
output {
if [logger] == "TRANSACTION_END" {
stdout {
codec => line{format => "%{sql_duration}"}
}
}
}
Note - Veuillez installer le filtre agrégé, s'il n'est pas déjà installé.
>logstash-plugin install Logstash-filter-aggregate
Exécutez Logstash
Nous pouvons exécuter Logstash en utilisant la commande suivante.
>logstash –f logsatsh.conf
Input.log
Le bloc de code suivant montre les données du journal d'entrée.
INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END – end
stdout (ce sera l'invite de commande dans Windows ou le terminal sous UNIX)
Il s'agit de la durée totale de sql_duration 320 + 200 = 520.
520
Sortie de fichier
Logstash peut également stocker les événements du journal de filtrage dans un fichier de sortie. Nous utiliserons l'exemple mentionné ci-dessus et stockerons la sortie dans un fichier au lieu de STDOUT.
logstash.conf
Ce fichier de configuration Logstash ordonne à Logstash de stocker la durée totale de sql_duration dans un fichier journal de sortie.
input {
file {
path => "C:/tpwork/logstash/bin/log/input1.log"
}
}
filter {
grok {
match => [
"message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid} -
%{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?"
]
}
if [logger] == "TRANSACTION_START" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] = 0"
map_action => "create"
}
}
if [logger] == "SQL" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] ||= 0 ;
map['sql_duration'] += event.get('duration')"
}
}
if [logger] == "TRANSACTION_END" {
aggregate {
task_id => "%{taskid}"
code => "event.set('sql_duration', map['sql_duration'])"
end_of_task => true
timeout => 120
}
}
}
output {
if [logger] == "TRANSACTION_END" {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
codec => line{format => "%{sql_duration}"}
}
}
}
Exécutez logstash
Nous pouvons exécuter Logstash en utilisant la commande suivante.
>logstash –f logsatsh.conf
input.log
Le bloc de code suivant montre les données du journal d'entrée.
INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END – end
output.log
Le bloc de code suivant montre les données du journal de sortie.
520
Sortie nulle
Il s'agit d'un plugin de sortie spécial, utilisé pour analyser les performances des plugins d'entrée et de filtre.
Logstash propose divers plugins pour les trois étapes de son pipeline (entrée, filtre et sortie). Ces plugins aident l'utilisateur à capturer les journaux de diverses sources telles que les serveurs Web, les bases de données, les protocoles sur le réseau, etc.
Après la capture, Logstash peut analyser et transformer les données en informations significatives selon les besoins de l'utilisateur. Enfin, Logstash peut envoyer ou stocker ces informations significatives vers diverses sources de destination telles que Elasticsearch, AWS Cloudwatch, etc.
Plugins d'entrée
Les plugins d'entrée dans Logstash aident l'utilisateur à extraire et à recevoir des journaux de diverses sources. La syntaxe pour utiliser le plugin d'entrée est la suivante -
Input {
Plugin name {
Setting 1……
Setting 2……..
}
}
Vous pouvez télécharger le plugin d'entrée en utilisant la commande suivante -
>Logstash-plugin install Logstash-input-<plugin name>
L'utilitaire Logstash-plugin est présent dans le bin folderdu répertoire d'installation de Logstash. Le tableau suivant présente une liste des plugins d'entrée proposés par Logstash.
Sr.No. | Nom et description du plugin |
---|---|
1 | beats Pour obtenir les données de journalisation ou les événements du framework Elastic Beats. |
2 | cloudwatch Pour extraire des événements de CloudWatch, une offre d'API d'Amazon Web Services. |
3 | couchdb_changes Événements provenant de l'URI _chages de couchdb expédiés à l'aide de ce plugin. |
4 | drupal_dblog Pour extraire les données de journalisation du chien de garde de drupal avec DBLog activé. |
5 | Elasticsearch Pour récupérer les résultats des requêtes effectuées dans le cluster Elasticsearch. |
6 | eventlog Pour obtenir les événements du journal des événements Windows. |
sept | exec Pour obtenir la sortie de la commande shell en tant qu'entrée dans Logstash. |
8 | file Pour obtenir les événements à partir d'un fichier d'entrée. Ceci est utile lorsque le Logstash est installé localement avec la source d'entrée et a accès aux journaux de la source d'entrée. |
9 | generator Il est utilisé à des fins de test, ce qui crée des événements aléatoires. |
dix | github Capture les événements du webhook GitHub. |
11 | graphite Pour obtenir des données de mesure à partir de l'outil de surveillance du graphite. |
12 | heartbeat Il est également utilisé pour les tests et produit des événements semblables à des battements de cœur |
13 | http Pour collecter les événements de journal sur deux protocoles réseau, ceux-ci sont http et https. |
14 | http_poller Il est utilisé pour décoder la sortie de l'API HTTP en un événement. |
15 | jdbc Il convertit les transactions JDBC en un événement dans Logstash. |
16 | jmx Pour extraire les métriques des applications Java distantes à l'aide de JMX. |
17 | log4j Capturez les événements de l'objet socketAppender de Log4j sur le socket TCP. |
18 | rss À la sortie des outils de ligne de commande en tant qu'événement d'entrée dans Logstash. |
19 | tcp Capture les événements sur le socket TCP. |
20 | Collectez les événements de l'API de streaming Twitter. |
21 | unix Collectez les événements sur le socket UNIX. |
22 | websocket Capturez les événements via le protocole Websocket. |
23 | xmpp Lit les événements via les protocoles Jabber / xmpp. |
Paramètres du plugin
Tous les plugins ont leurs paramètres spécifiques, ce qui permet de spécifier les champs importants tels que Port, Path, etc., dans un plugin. Nous discuterons des paramètres de certains des plugins d'entrée.
Fichier
Ce plugin d'entrée est utilisé pour extraire des événements directement à partir de fichiers journaux ou texte présents dans la source d'entrée. Elle fonctionne de la même manière que la commande tail sous UNIX et enregistre le dernier curseur de lecture et ne lit que les nouvelles données ajoutées du fichier d'entrée, mais elle peut être modifiée à l'aide du paramètre star_position. Voici les paramètres de ce plugin d'entrée.
Nom du paramètre | Valeur par défaut | La description |
---|---|---|
ajouter le champ | {} | Ajoutez un nouveau champ à l'événement d'entrée. |
close_older | 3600 | Les fichiers dont la dernière lecture (en secondes) est supérieure à celle spécifiée dans ce plugin sont fermés. |
codec | "plaine" | Il est utilisé pour décoder les données avant d'entrer dans le pipeline Logstash. |
délimiteur | «\ N» | Il est utilisé pour spécifier un nouveau délimiteur de ligne. |
Discover_interval | 15 | Il s'agit de l'intervalle de temps (en secondes) entre la découverte de nouveaux fichiers dans le chemin spécifié. |
enable_metric | vrai | Il est utilisé pour activer ou désactiver le reporting et la collecte de métriques pour le plugin spécifié. |
exclure | Il est utilisé pour spécifier le nom de fichier ou les modèles, qui doivent être exclus du plugin d'entrée. | |
Id | Pour spécifier une identité unique pour cette instance de plugin. | |
max_open_files | Il spécifie le nombre maximum de fichiers d'entrée par Logstash à tout moment. | |
chemin | Spécifiez le chemin des fichiers et il peut contenir les modèles de nom de fichier. | |
la position de départ | "fin" | Vous pouvez passer au «début», si vous le souhaitez; Initialement, Logstash devrait commencer à lire les fichiers depuis le début et pas seulement le nouvel événement du journal. |
start_interval | 1 | Il spécifie l'intervalle de temps en secondes, après lequel Logstash recherche les fichiers modifiés. |
Mots clés | Pour ajouter des informations supplémentaires, comme Logstash, il ajoute "_grokparsefailure" dans les balises, lorsqu'un événement du journal ne respecte pas le filtre Grok spécifié. | |
type | C'est un champ spécial, que vous pouvez ajouter à un événement d'entrée et il est utile dans les filtres et kibana. |
Elasticsearch
Ce plugin particulier est utilisé pour lire les résultats des requêtes de recherche dans un cluster Elasticsearch. Ce qui suit a les paramètres utilisés dans ce plugin -
Nom du paramètre | Valeur par défaut | La description |
---|---|---|
ajouter le champ | {} | Comme dans le plugin de fichier, il est utilisé pour ajouter un champ dans l'événement d'entrée. |
ca_file | Il est utilisé pour spécifier le chemin du fichier d'autorité de certification SSL. | |
codec | "plaine" | Il est utilisé pour décoder les événements d'entrée d'Elasticsearch avant d'entrer dans le pipeline Logstash. |
docinfo | "faux" | Vous pouvez le changer en vrai, si vous souhaitez extraire les informations supplémentaires telles que l'index, le type et l'ID du moteur Elasticsearch. |
docinfo_fields | ["_index", "_type", "_id"] | Vous pouvez supprimer n'importe quel champ que vous ne voulez pas dans votre entrée Logstash. |
enable_metric | vrai | Il est utilisé pour activer ou désactiver le reporting et la collecte de métriques pour cette instance de plugin. |
hôtes | Il est utilisé pour spécifier les adresses de tous les moteurs elasticsearch, qui seront la source d'entrée de cette instance de Logstash. La syntaxe est hôte: port ou IP: port. | |
Id | Il est utilisé pour donner un numéro d'identité unique à cette instance de plug-in d'entrée spécifique. | |
indice | "logstash- *" | Il est utilisé pour spécifier le nom d'index ou un modèle, que Logstash surveillera par Logstash pour l'entrée. |
mot de passe | À des fins d'authentification. | |
requete | "{\" sort \ ": [\" _ doc \ "]}" | Requête pour l'exécution. |
ssl | faux | Activez ou désactivez la couche de socket sécurisée. |
Mots clés | Pour ajouter des informations supplémentaires dans les événements d'entrée. | |
type | Il est utilisé pour classer les formulaires d'entrée afin qu'il soit facile de rechercher tous les événements d'entrée à des étapes ultérieures. | |
utilisateur | À des fins authentiques. |
journal des événements
Ce plugin d'entrée lit les données de l'API win32 des serveurs Windows. Voici les paramètres de ce plugin -
Nom du paramètre | Valeur par défaut | La description |
---|---|---|
ajouter le champ | {} | Identique au plugin de fichier, il est utilisé pour ajouter un champ dans l'événement d'entrée |
codec | "plaine" | Il est utilisé pour décoder les événements d'entrée de Windows; avant d'entrer dans le pipeline Logstash |
fichier journal | ["Application", "Sécurité", "Système"] | Evénements requis dans le fichier journal d'entrée |
intervalle | 1000 | Il est en millisecondes et définit l'intervalle entre deux vérifications consécutives des nouveaux journaux d'événements |
Mots clés | Pour ajouter des informations supplémentaires dans les événements d'entrée | |
type | Il est utilisé pour classer la forme d'entrée d'un plug-in spécifique dans un type donné, de sorte qu'il soit facile de rechercher tous les événements d'entrée dans les étapes ultérieures |
Ce plugin d'entrée est utilisé pour collecter le flux de Twitter à partir de son API de streaming. Le tableau suivant décrit les paramètres de ce plugin.
Nom du paramètre | Valeur par défaut | La description |
---|---|---|
ajouter le champ | {} | Identique au plugin de fichier, il est utilisé pour ajouter un champ dans l'événement d'entrée |
codec | "plaine" | Il est utilisé pour décoder les événements d'entrée de Windows; avant d'entrer dans le pipeline Logstash |
La clé du consommateur | Il contient la clé consommateur de l'application Twitter. Pour plus d'informations, visitezhttps://dev.twitter.com/apps/new | |
consumer_secret | Il contient la clé secrète du consommateur de l'application Twitter. Pour plus d'informations, visitezhttps://dev.twitter.com/apps/new | |
enable_metric | vrai | Il est utilisé pour activer ou désactiver le reporting et la collecte de métriques pour cette instance de plugin |
suit | Il spécifie les identifiants d'utilisateur séparés par des virgules et LogStash vérifie le statut de ces utilisateurs sur Twitter. Pour plus d'informations, visitez https://dev.twitter.com |
|
full_tweet | faux | Vous pouvez le changer en vrai, si vous voulez que Logstash lise le retour d'objet complet de l'API Twitter |
id | Il est utilisé pour donner un numéro d'identité unique à cette instance de plug-in d'entrée spécifique | |
ignore_retweets | Faux | Vous pouvez changer la valeur true pour ignorer les retweets dans le flux Twitter d'entrée |
mots clés | C'est un tableau de mots-clés, qui doivent être suivis dans le flux d'entrée des twitters | |
Langue | Il définit la langue des tweets nécessaires à LogStash à partir du flux Twitter d'entrée. Ceci est un tableau d'identifiant, qui définit une langue spécifique dans Twitter | |
Emplacements | Pour filtrer les tweets du flux d'entrée en fonction de l'emplacement spécifié. Ceci est un tableau, qui contient la longitude et la latitude de l'emplacement | |
oauth_token | Il s'agit d'un fichier obligatoire, qui contient un jeton utilisateur oauth. Pour plus d'informations, veuillez visiter le lien suivanthttps://dev.twitter.com/apps | |
oauth_token_secret | Il s'agit d'un fichier obligatoire, qui contient un jeton secret utilisateur oauth. Pour plus d'informations, veuillez visiter le lien suivanthttps://dev.twitter.com/apps | |
Mots clés | Pour ajouter des informations supplémentaires dans les événements d'entrée | |
type | Il est utilisé pour classer la forme d'entrée d'un plug-in spécifique dans un type donné, de sorte qu'il soit facile de rechercher tous les événements d'entrée dans les étapes ultérieures |
TCP
TCP est utilisé pour obtenir les événements sur le socket TCP; il peut lire à partir des connexions utilisateur ou du serveur, ce qui est spécifié dans le paramètre de mode. Le tableau suivant décrit les paramètres de ce plugin -
Nom du paramètre | Valeur par défaut | La description |
---|---|---|
ajouter le champ | {} | Identique au plugin de fichier, il est utilisé pour ajouter un champ dans l'événement d'entrée |
codec | "plaine" | Il est utilisé pour décoder les événements d'entrée de Windows; avant d'entrer dans le pipeline Logstash |
enable_metric | vrai | Il est utilisé pour activer ou désactiver le reporting et la collecte de métriques pour cette instance de plugin |
hôte | "0.0.0.0" | L'adresse du système d'exploitation du serveur dont dépend le client |
id | Il contient la clé consommateur de l'application Twitter | |
mode | "serveur" | Il est utilisé pour spécifier que la source d'entrée est le serveur ou le client. |
Port | Il définit le numéro de port | |
ssl_cert | Il est utilisé pour spécifier le chemin du certificat SSL | |
ssl_enable | faux | Activer ou désactiver SSL |
ssl_key | Pour spécifier le chemin du fichier de clé SSL | |
Mots clés | Pour ajouter des informations supplémentaires dans les événements d'entrée | |
type | Il est utilisé pour classer la forme d'entrée d'un plug-in spécifique dans un type donné, de sorte qu'il soit facile de rechercher tous les événements d'entrée dans les étapes ultérieures |
Logstash - Plugins de sortie
Logstash prend en charge diverses sources de sortie et dans différentes technologies telles que la base de données, le fichier, le courrier électronique, la sortie standard, etc.
La syntaxe pour utiliser le plugin de sortie est la suivante -
output {
Plugin name {
Setting 1……
Setting 2……..
}
}
Vous pouvez télécharger le plugin de sortie en utilisant la commande suivante -
>logstash-plugin install logstash-output-<plugin name>
le Logstash-plugin utilityest présent dans le dossier bin du répertoire d'installation de Logstash. Le tableau suivant décrit les plugins de sortie proposés par Logstash.
Sr.No. | Nom et description du plugin |
---|---|
1 | CloudWatch Ce plugin est utilisé pour envoyer des données de métriques agrégées à CloudWatch des services Web Amazon. |
2 | csv Il est utilisé pour écrire les événements de sortie séparés par des virgules. |
3 | Elasticsearch Il est utilisé pour stocker les journaux de sortie dans l'index Elasticsearch. |
4 | Il est utilisé pour envoyer un e-mail de notification, lorsque la sortie est générée. L'utilisateur peut ajouter des informations sur la sortie dans l'e-mail. |
5 | exec Il est utilisé pour exécuter une commande, qui correspond à l'événement de sortie. |
6 | ganglia Il tord les métriques à gmond de Gangila. |
sept | gelf Il est utilisé pour produire une sortie pour Graylog2 au format GELF. |
8 | google_bigquery Il envoie les événements à Google BigQuery. |
9 | google_cloud_storage Il stocke les événements de sortie sur Google Cloud Storage. |
dix | graphite Il est utilisé pour stocker les événements de sortie dans Graphite. |
11 | graphtastic Il est utilisé pour écrire les métriques de sortie sous Windows. |
12 | hipchat Il est utilisé pour stocker les événements du journal de sortie dans HipChat. |
13 | http Il est utilisé pour envoyer les événements du journal de sortie aux points de terminaison http ou https. |
14 | influxdb Il est utilisé pour stocker l'événement de sortie dans InfluxDB. |
15 | irc Il est utilisé pour écrire les événements de sortie dans irc. |
16 | mongodb Il stocke les données de sortie dans MongoDB. |
17 | nagios Il est utilisé pour notifier à Nagios les résultats de la vérification passive. |
18 | nagios_nsca Il est utilisé pour notifier à Nagios les résultats de la vérification passive via le protocole NSCA. |
19 | opentsdb Il stocke les événements de sortie Logstash dans OpenTSDB. |
20 | pipe Il diffuse les événements de sortie vers l'entrée standard d'un autre programme. |
21 | rackspace Il est utilisé pour envoyer les événements du journal de sortie au service Queue de Rackspace Cloud. |
22 | redis Il utilise la commande rpush pour envoyer les données de journalisation de sortie à la file d'attente Redis. |
23 | riak Il est utilisé pour stocker les événements de sortie dans la paire clé / valeur distribuée Riak. |
24 | s3 Il stocke les données de journalisation de sortie sur Amazon Simple Storage Service. |
25 | sns Il est utilisé pour envoyer les événements de sortie au service de notification simple d'Amazon. |
26 | solr_http Il indexe et stocke les données de journalisation de sortie dans Solr. |
27 | sps Il est utilisé pour envoyer les événements à Simple Queue Service d'AWS. |
28 | statsd Il est utilisé pour envoyer les données de métrique au démon réseau statsd. |
29 | stdout Il est utilisé pour afficher les événements de sortie sur la sortie standard de la CLI comme une invite de commande. |
30 | syslog Il est utilisé pour envoyer les événements de sortie au serveur syslog. |
31 | tcp Il est utilisé pour envoyer les événements de sortie au socket TCP. |
32 | udp Il est utilisé pour pousser les événements de sortie sur UDP. |
33 | websocket Il est utilisé pour transmettre les événements de sortie via le protocole WebSocket. |
34 | xmpp Il est utilisé pour transmettre les événements de sortie via le protocole XMPP. |
Tous les plugins ont leurs paramètres spécifiques, ce qui permet de spécifier les champs importants tels que Port, Path, etc., dans un plugin. Nous discuterons des paramètres de certains des plugins de sortie.
Elasticsearch
Le plugin de sortie Elasticsearch permet à Logstash de stocker la sortie dans les clusters spécifiques du moteur Elasticsearch. C'est l'un des choix les plus connus des utilisateurs car il est livré dans le package d'ELK Stack et fournit donc des solutions de bout en bout pour Devops. Le tableau suivant décrit les paramètres de ce plugin de sortie.
Nom du paramètre | Valeur par défaut | La description |
---|---|---|
action | indice | Il permet de définir l'action effectuée dans Elasticsearch Engine. Les autres valeurs de ces paramètres sont la suppression, la création, la mise à jour, etc. |
cacert | Il contient le chemin du fichier avec .cer ou .pem pour la validation du certificat du serveur. | |
codec | "plaine" | Il est utilisé pour encoder les données de journalisation de sortie avant de les envoyer à la source de destination. |
doc_as_upset | faux | Ce paramètre est utilisé en cas d'action de mise à jour. Il crée un document dans Elasticsearch Engine, si l'ID du document n'est pas spécifié dans le plugin de sortie. |
Type de document | Il est utilisé pour stocker le même type d'événements dans le même type de document. S'il n'est pas spécifié, le type d'événement est utilisé pour le même. | |
flush_size | 500 | Ceci est utilisé pour améliorer les performances du téléchargement groupé dans Elasticsearch |
hôtes | ["127.0.0.1"] | C'est un tableau d'adresses de destination pour la sortie des données de journalisation |
idle_flush_time | 1 | Il définit la limite de temps (seconde) entre les deux rinçages, Logstash force le rinçage après la limite de temps spécifiée dans ce paramètre |
indice | "logstash -% {+ AAAA.MM.dd}" | Il est utilisé pour spécifier l'index du moteur Elasticsearch |
manage_temlpate | vrai | Il est utilisé pour appliquer le modèle par défaut dans Elasticsearch |
parent | néant | Il est utilisé pour spécifier l'id du document parent dans Elasticsearch |
mot de passe | Il est utilisé pour authentifier la demande auprès d'un cluster sécurisé dans Elasticsearch | |
chemin | Il est utilisé pour spécifier le chemin HTTP d'Elasticsearch. | |
pipeline | néant | Il est utilisé pour définir le pipeline d'ingestion, l'utilisateur souhaite s'exécuter pour un événement |
Procuration | Il est utilisé pour spécifier le proxy HTTP | |
retry_initial_interval | 2 | Il est utilisé pour définir l'intervalle de temps initial (secondes) entre les tentatives groupées. Il double après chaque nouvelle tentative jusqu'à ce qu'il atteigne retry_max_interval |
retry_max_interval | 64 | Il est utilisé pour définir l'intervalle de temps maximum pour retry_initial_interval |
retry_on_conflict | 1 | C'est le nombre de tentatives par Elasticsearch pour mettre à jour un document |
ssl | Pour activer ou désactiver SSL / TLS sécurisé sur Elasticsearch | |
modèle | Il contient le chemin du modèle personnalisé dans Elasticsearch | |
nom_modèle | "logstash" | Ceci est utilisé pour nommer le modèle dans Elasticsearch |
temps libre | 60 | C'est le délai d'expiration des requêtes réseau adressées à Elasticsearch |
bouleverser | "" | Il met à jour le document ou si le document_id n'existe pas, il crée un nouveau document dans Elasticsearch |
utilisateur | Il contient l'utilisateur pour authentifier la requête Logstash dans un cluster Elasticsearch sécurisé |
Le plugin de sortie de courrier électronique est utilisé pour avertir l'utilisateur lorsque Logstash génère une sortie. Le tableau suivant décrit les paramètres de ce plugin.
Nom du paramètre | Valeur par défaut | La description |
---|---|---|
adresse | "Localhost" | C'est l'adresse du serveur de messagerie |
pièces jointes | [] | Il contient les noms et les emplacements des fichiers joints |
corps | "" | Il contient le corps de l'e-mail et doit être en texte brut |
cc | Il contient les adresses e-mail séparées par des virgules pour le cc de l'e-mail | |
codec | "plaine" | Il est utilisé pour encoder les données de journalisation de sortie avant de les envoyer à la source de destination. |
contenttype | "text / html; charset = UTF-8" | Il est utilisé pour le type de contenu de l'e-mail |
déboguer | faux | Il est utilisé pour exécuter le relais de messagerie en mode débogage |
domaine | "localhost" | Il est utilisé pour définir le domaine pour envoyer les e-mails |
de | "[email protected]" | Il est utilisé pour spécifier l'adresse e-mail de l'expéditeur |
htmlbody | "" | Il est utilisé pour spécifier le corps de l'e-mail au format html |
mot de passe | Il est utilisé pour s'authentifier auprès du serveur de messagerie | |
Port | 25 | Il permet de définir le port pour communiquer avec le serveur de messagerie |
répondre à | Il est utilisé pour spécifier l'identifiant de l'e-mail pour le champ de réponse de l'e-mail | |
matière | "" | Il contient la ligne d'objet de l'e-mail |
use_tls | faux | Activer ou désactiver TSL pour la communication avec le serveur de messagerie |
Nom d'utilisateur | Is contient le nom d'utilisateur pour l'authentification auprès du serveur | |
via | "Smtp" | Il définit les méthodes d'envoi d'email par Logstash |
Http
Ce paramètre est utilisé pour envoyer les événements de sortie via http vers la destination. Ce plugin a les paramètres suivants -
Nom du paramètre | Valeur par défaut | La description |
---|---|---|
retries_automatiques | 1 | Il est utilisé pour définir le nombre de tentatives de requête http par logstash |
cacert | Il contient le chemin du fichier pour la validation du certificat du serveur | |
codec | "plaine" | Il est utilisé pour encoder les données de journalisation de sortie avant de les envoyer à la source de destination. |
content_type | Je spécifie le type de contenu de la requête http au serveur de destination | |
biscuits | vrai | Il est utilisé pour activer ou désactiver les cookies |
format | "json" | Il est utilisé pour définir le format du corps de la requête http |
en-têtes | Il contient les informations de l'en-tête http | |
http_method | "" | Il est utilisé pour spécifier la méthode http utilisée dans la requête par logstash et les valeurs peuvent être "put", "post", "patch", "delete", "get", "head" |
request_timeout | 60 | Il est utilisé pour s'authentifier auprès du serveur de messagerie |
URL | C'est un paramètre obligatoire pour ce plugin pour spécifier le point de terminaison http ou https |
stdout
Le plugin de sortie stdout est utilisé pour écrire les événements de sortie sur la sortie standard de l'interface de ligne de commande. C'est une invite de commande dans Windows et un terminal sous UNIX. Ce plugin a les paramètres suivants -
Nom du paramètre | Valeur par défaut | La description |
---|---|---|
codec | "plaine" | Il est utilisé pour encoder les données de journalisation de sortie avant de les envoyer à la source de destination. |
ouvriers | 1 | Il est utilisé pour spécifier le nombre de travailleurs pour la sortie |
statsd
Il s'agit d'un démon réseau utilisé pour envoyer les données des matrices via UDP aux services backend de destination. C'est une invite de commande dans Windows et un terminal sous UNIX. Ce plugin a les paramètres suivants -
Nom du paramètre | Valeur par défaut | La description |
---|---|---|
codec | "plaine" | Il est utilisé pour encoder les données de journalisation de sortie avant de les envoyer à la source de destination. |
compter | {} | Il est utilisé pour définir le nombre à utiliser dans les métriques |
décrémenter | [] | Il est utilisé pour spécifier les noms des métriques de décrémentation |
hôte | "Localhost" | Il contient l'adresse du serveur statsd |
incrément | [] | Il est utilisé pour spécifier les noms de métrique d'incrément |
Port | 8125 | Il contient le port du serveur statsd |
taux d'échantillonnage | 1 | Il est utilisé pour spécifier le taux d'échantillonnage de la métrique |
expéditeur | "%{hôte}" | Il spécifie le nom de l'expéditeur |
ensemble | {} | Il est utilisé pour spécifier une métrique d'ensemble |
Horaire | {} | Il est utilisé pour spécifier une métrique de synchronisation |
ouvriers | 1 | Il est utilisé pour spécifier le nombre de travailleurs pour la sortie |
Plugins de filtre
Logstash prend en charge divers plugins de filtrage pour analyser et transformer les journaux d'entrée dans un format plus structuré et plus facile à interroger.
La syntaxe d'utilisation du plugin de filtrage est la suivante -
filter {
Plugin name {
Setting 1……
Setting 2……..
}
}
Vous pouvez télécharger le plugin de filtrage en utilisant la commande suivante -
>logstash-plugin install logstash-filter-<plugin name>
L'utilitaire Logstash-plugin est présent dans le dossier bin du répertoire d'installation de Logstash. Le tableau suivant décrit les plugins de sortie proposés par Logstash.
Sr.No. | Nom et description du plugin |
---|---|
1 | aggregate Ce plugin recueille ou agrège les données de divers événements du même type et les traite dans l'événement final |
2 | alter Il permet à l'utilisateur de modifier le champ des événements de journal, que le filtre de mutation ne gère pas |
3 | anonymize Il est utilisé pour remplacer les valeurs des champs par un hachage cohérent |
4 | cipher Il est utilisé pour crypter les événements de sortie avant de les stocker dans la source de destination |
5 | clone Il est utilisé pour créer un double des événements de sortie dans Logstash |
6 | collate Il fusionne les événements de différents journaux par leur heure ou leur nombre |
sept | csv Ce plugin analyse les données des journaux d'entrée en fonction du séparateur |
8 | date Il analyse les dates des champs de l'événement et les définit comme horodatage de l'événement |
9 | dissect Ce plugin aide l'utilisateur à extraire les champs de données non structurées et permet au filtre grok de les analyser correctement. |
dix | drop Il permet de supprimer tous les événements de même type ou toute autre similitude |
11 | elapsed Il est utilisé pour calculer le temps entre les événements de début et de fin |
12 | Elasticsearch Il est utilisé pour copier les champs des événements de journal précédents présents dans Elasticsearch vers celui en cours dans Logstash |
13 | extractnumbers Il est utilisé pour extraire le nombre de chaînes dans les événements du journal |
14 | geoip Il ajoute un champ dans l'événement, qui contient la latitude et la longitude de l'emplacement de l'adresse IP présente dans l'événement du journal |
15 | grok C'est le plugin de filtrage couramment utilisé pour analyser l'événement pour obtenir les champs |
16 | i18n Il supprime les caractères spéciaux d'un fichier dans l'événement de journal |
17 | json Il est utilisé pour créer un objet Json structuré en événement ou dans un champ spécifique d'un événement |
18 | kv Ce plugin est utile pour parer les paires clé / valeur dans les données de journalisation |
19 | metrics Il est utilisé pour agréger des métriques telles que le comptage de la durée de chaque événement |
20 | multiline C'est également l'un des plugins de filtrage couramment utilisés, qui aide l'utilisateur en cas de conversion de données de journalisation multiligne en un seul événement. |
21 | mutate Ce plugin est utilisé pour renommer, supprimer, remplacer et modifier les champs de vos événements |
22 | range Il était utilisé pour vérifier les valeurs numériques des champs dans les événements par rapport à une plage attendue et à la longueur d'une chaîne dans une plage. |
23 | ruby Il est utilisé pour exécuter du code Ruby arbitraire |
24 | sleep Cela permet à Logstash de dormir pendant une durée spécifiée |
25 | split Il est utilisé pour fractionner un champ d'un événement et placer toutes les valeurs fractionnées dans les clones de cet événement |
26 | xml Il est utilisé pour créer un événement en couplant les données XML présentes dans les logs |
Plugins de codec
Les plugins de codec peuvent faire partie des plugins d'entrée ou de sortie. Ces plugins sont utilisés pour modifier ou formater la présentation des données de journalisation. Logstash propose plusieurs plugins de codec et ceux-ci sont les suivants -
Sr.No. | Nom et description du plugin |
---|---|
1 | avro Ce plugin encode sérialiser les événements Logstash en datums avro ou décoder les enregistrements avro en événements Logstash |
2 | cloudfront Ce plugin lit les données encodées à partir d'AWS cloudfront |
3 | cloudtrail Ce plugin est utilisé pour lire les données depuis AWS cloudtrail |
4 | collectd Cela lit les données du protocole binaire appelé collectées via UDP |
5 | compress_spooler Il est utilisé pour compresser les événements du journal dans Logstash en lots spoulés |
6 | dots Ceci est utilisé pour le suivi des performances en définissant un point pour chaque événement sur stdout |
sept | es_bulk Ceci est utilisé pour convertir les données en masse d'Elasticsearch en événements Logstash, y compris les métadonnées Elasticsearch |
8 | graphite Ce codec lit les données du graphite en événements et change l'événement en enregistrements au format graphite |
9 | gzip_lines Ce plugin est utilisé pour gérer les données encodées gzip |
dix | json Ceci est utilisé pour convertir un seul élément du tableau Json en un seul événement Logstash |
11 | json_lines Il est utilisé pour gérer les données Json avec un délimiteur de nouvelle ligne |
12 | line Ce plugin lira et écrira l'événement en un seul live, ce qui signifie qu'après le délimiteur de nouvelle ligne, il y aura un nouvel événement |
13 | multiline Il est utilisé pour convertir les données de journalisation multiligne en un seul événement |
14 | netflow Ce plugin est utilisé pour convertir les données nertflow v5 / v9 en événements logstash |
15 | nmap Il analyse les données de résultat nmap dans un format XML |
16 | plain Cela lit le texte sans délimiteurs |
17 | rubydebug Ce plugin écrira les événements Logstash de sortie en utilisant la bibliothèque d'impression géniale Ruby |
Créez votre propre plugin
Vous pouvez également créer vos propres plugins dans Logstash, qui répondent à vos besoins. L'utilitaire Logstash-plugin est utilisé pour créer des plugins personnalisés. Ici, nous allons créer un plugin de filtre, qui ajoutera un message personnalisé dans les événements.
Générer la structure de base
Un utilisateur peut générer les fichiers nécessaires en utilisant l'option generate de l'utilitaire logstash-plugin ou elle est également disponible sur le GitHub.
>logstash-plugin generate --type filter --name myfilter --path c:/tpwork/logstash/lib
Ici, typeL'option est utilisée pour spécifier que le plugin est soit Input, Output ou Filter. Dans cet exemple, nous créons un plugin de filtre nommémyfilter. L'option path est utilisée pour spécifier le chemin, où vous voulez que votre répertoire de plugins soit créé. Après avoir exécuté la commande mentionnée ci-dessus, vous verrez qu'une structure de répertoire est créée.
Développer le plugin
Vous pouvez trouver le fichier de code du plugin dans le \lib\logstash\filtersdossier dans le répertoire du plugin. L'extension de fichier sera.rb.
Dans notre cas, le fichier de code se trouvait à l'intérieur du chemin suivant -
C:\tpwork\logstash\lib\logstash-filter-myfilter\lib\logstash\filters\myfilter.rb
Nous changeons le message en - par défaut ⇒ "Salut, vous apprenez ceci sur tutorialspoint.com" et sauvegardons le fichier.
Installez le plugin
Pour installer ce plugin, le Gemfile de Logstash doit être modifié. Vous pouvez trouver ce fichier dans le répertoire d'installation de Logstash. Dans notre cas, ce sera dansC:\tpwork\logstash. Modifiez ce fichier à l'aide de n'importe quel éditeur de texte et ajoutez-y le texte suivant.
gem "logstash-filter-myfilter",:path => "C:/tpwork/logstash/lib/logstash-filter-myfilter"
Dans la commande ci-dessus, nous spécifions le nom du plugin ainsi que l'endroit où nous pouvons le trouver pour l'installation. Ensuite, exécutez l'utilitaire Logstash-plugin pour installer ce plugin.
>logstash-plugin install --no-verify
Essai
Ici, nous ajoutons myfilter dans l'un des exemples précédents -
logstash.conf
Ce fichier de configuration Logstash contient myfilter dans la section filter après le plugin grok filter.
input {
file {
path => "C:/tpwork/logstash/bin/log/input1.log"
}
}
filter {
grok {
match => [
"message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid} -
%{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?" ]
}
myfilter{}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output1.log"
codec => rubydebug
}
}
Run logstash
Nous pouvons exécuter Logstash en utilisant la commande suivante.
>logstash –f logsatsh.conf
input.log
Le bloc de code suivant montre les données du journal d'entrée.
INFO - 48566 - TRANSACTION_START - start
output.log
Le bloc de code suivant montre les données du journal de sortie.
{
"path" => "C:/tpwork/logstash/bin/log/input.log",
"@timestamp" => 2017-01-07T06:25:25.484Z,
"loglevel" => "INFO",
"logger" => "TRANSACTION_END",
"@version" => "1",
"host" => "Dell-PC",
"label" => "end",
"message" => "Hi, You are learning this on tutorialspoint.com",
"taskid" => "48566",
"tags" => []
}
Publiez-le sur Logstash
Un développeur peut également publier son plugin personnalisé sur Logstash en le téléchargeant sur le github et en suivant les étapes standardisées définies par la société Elasticsearch.
Veuillez consulter l'URL suivante pour plus d'informations sur la publication -
https://www.elastic.co/guide/en/logstash/current/contributing-to-logstash.html
Logstash propose des API pour surveiller ses performances. Ces API de surveillance extraient des métriques d'exécution sur Logstash.
API Node Info
Cette API est utilisée pour obtenir les informations sur les nœuds de Logstash. Il renvoie les informations du système d'exploitation, du pipeline Logstash et de la JVM au format JSON.
Vous pouvez extraire les informations en envoyant un get demande à Logstash en utilisant l'URL suivante -
GET http://localhost:9600/_node?pretty
Réponse
Voici la réponse de l'API Node Info.
{
"host" : "Dell-PC",
"version" : "5.0.1",
"http_address" : "127.0.0.1:9600",
"pipeline" : {
"workers" : 4,
"batch_size" : 125,
"batch_delay" : 5,
"config_reload_automatic" : false,
"config_reload_interval" : 3
},
"os" : {
"name" : "Windows 7",
"arch" : "x86",
"version" : "6.1",
"available_processors" : 4
},
"jvm" : {
"pid" : 312,
"version" : "1.8.0_111",
"vm_name" : "Java HotSpot(TM) Client VM",
"vm_version" : "1.8.0_111",
"vm_vendor" : "Oracle Corporation",
"start_time_in_millis" : 1483770315412,
"mem" : {
"heap_init_in_bytes" : 16777216,
"heap_max_in_bytes" : 1046937600,
"non_heap_init_in_bytes" : 163840,
"non_heap_max_in_bytes" : 0
},
"gc_collectors" : [ "ParNew", "ConcurrentMarkSweep" ]
}
}
Vous pouvez également obtenir les informations spécifiques de Pipeline, OS et JVM, en ajoutant simplement leurs noms dans l'URL.
GET http://localhost:9600/_node/os?pretty
GET http://localhost:9600/_node/pipeline?pretty
GET http://localhost:9600/_node/jvm?pretty
API Info Plugins
Cette API est utilisée pour obtenir les informations sur les plugins installés dans le Logstash. Vous pouvez récupérer ces informations en envoyant une demande d'obtention à l'URL mentionnée ci-dessous -
GET http://localhost:9600/_node/plugins?pretty
Réponse
Voici la réponse de l'API Plugins Info.
{
"host" : "Dell-PC",
"version" : "5.0.1",
"http_address" : "127.0.0.1:9600",
"total" : 95,
"plugins" : [ {
"name" : "logstash-codec-collectd",
"version" : "3.0.2"
},
{
"name" : "logstash-codec-dots",
"version" : "3.0.2"
},
{
"name" : "logstash-codec-edn",
"version" : "3.0.2"
},
{
"name" : "logstash-codec-edn_lines",
"version" : "3.0.2"
},
............
}
API Node Stats
Cette API permet d'extraire les statistiques du Logstash (Mémoire, Processus, JVM, Pipeline) dans les objets JSON. Vous pouvez récupérer ces informations en envoyant une demande d'obtention aux URL mentionnées ci-dessous -
GET http://localhost:9600/_node/stats/?pretty
GET http://localhost:9600/_node/stats/process?pretty
GET http://localhost:9600/_node/stats/jvm?pretty
GET http://localhost:9600/_node/stats/pipeline?pretty
API Hot Threads
Cette API récupère les informations sur les threads actifs dans Logstash. Les threads actifs sont les threads java, qui ont une utilisation élevée du processeur et qui s'exécutent plus longtemps que le temps d'exécution normal. Vous pouvez récupérer ces informations en envoyant une demande d'obtention à l'URL mentionnée ci-dessous -
GET http://localhost:9600/_node/hot_threads?pretty
Un utilisateur peut utiliser l'URL suivante pour obtenir la réponse sous une forme plus lisible.
GET http://localhost:9600/_node/hot_threads?human = true
Dans ce chapitre, nous aborderons les aspects de sécurité et de surveillance de Logstash.
surveillance
Logstash est un très bon outil pour surveiller les serveurs et les services dans les environnements de production. Les applications dans l'environnement de production produisent différents types de données de journal comme les journaux d'accès, les journaux d'erreurs, etc. Logstash peut compter ou analyser le nombre d'erreurs, d'accès ou d'autres événements à l'aide de plugins de filtrage. Cette analyse et ce comptage peuvent être utilisés pour surveiller différents serveurs et leurs services.
Logstash propose des plugins comme HTTP Pollerpour surveiller la surveillance de l'état du site Web. Ici, nous surveillons un site Web nommémysite hébergé sur un serveur Apache Tomcat local.
logstash.conf
Dans ce fichier de configuration, le plugin http_poller est utilisé pour atteindre le site spécifié dans le plugin après un intervalle de temps spécifié dans le paramètre d'intervalle. Enfin, il écrit l'état du site sur une sortie standard.
input {
http_poller {
urls => {
site => "http://localhost:8080/mysite"
}
request_timeout => 20
interval => 30
metadata_target => "http_poller_metadata"
}
}
output {
if [http_poller_metadata][code] == 200 {
stdout {
codec => line{format => "%{http_poller_metadata[response_message]}"}
}
}
if [http_poller_metadata][code] != 200 {
stdout {
codec => line{format => "down"}
}
}
}
Exécutez logstash
Nous pouvons exécuter Logstash avec la commande suivante.
>logstash –f logstash.conf
stdout
Si le site est en place, la sortie sera -
Ok
Si nous arrêtons le site en utilisant le Manager App de Tomcat, la sortie deviendra -
down
Sécurité
Logstash fournit de nombreuses fonctionnalités pour une communication sécurisée avec des systèmes externes et prend en charge le mécanisme d'authentification. Tous les plugins Logstash prennent en charge l'authentification et le cryptage via les connexions HTTP.
Sécurité avec protocole HTTP
Il existe des paramètres tels que l'utilisateur et le mot de passe à des fins d'authentification dans divers plugins proposés par Logstash comme dans le plugin Elasticsearch.
elasticsearch {
user => <username>
password => <password>
}
L'autre authentification est PKI (public key infrastructure)pour Elasticsearch. Le développeur doit définir deux paramètres dans le plugin de sortie Elasticsearch pour activer l'authentification PKI.
elasticsearch {
keystore => <string_value>
keystore_password => <password>
}
Dans le protocole HTTPS, un développeur peut utiliser le certificat de l'autorité pour SSL / TLS.
elasticsearch {
ssl => true
cacert => <path to .pem file>
}
Sécurité avec protocole de transport
Pour utiliser le protocole de transport avec Elasticsearch, les utilisateurs doivent définir le paramètre de protocole sur le transport. Cela évite le désassemblage d'objets JSON et conduit à plus d'efficacité.
L'authentification de base est la même que celle effectuée dans le protocole http dans le protocole de sortie Elasticsearch.
elasticsearch {
protocol => “transport”
user => <username>
password => <password>
}
L'authentification PKI a également besoin que les ensembles SSL soient vrais avec d'autres paramètres dans le protocole de sortie Elasticsearch -
elasticsearch {
protocol => “transport”
ssl => true
keystore => <string_value>
keystore_password => <password>
}
Enfin, la sécurité SSL nécessite un peu plus de paramètres que les autres méthodes de sécurité en communication.
elasticsearch {
ssl => true
ssl => true
keystore => <string_value>
keystore_password => <password>
truststore =>
truststore_password => <password> }
Autres avantages de sécurité de Logstash
Logstash peut aider à saisir les sources du système pour éviter les attaques telles que les attaques par déni de service. La surveillance des journaux et l'analyse des différents événements de ces journaux peuvent aider les administrateurs système à vérifier la variation des connexions entrantes et les erreurs. Ces analyses peuvent aider à voir si l'attaque se produit ou va se produire sur les serveurs.
D'autres produits de la société Elasticsearch tels que x-pack et filebeat fournit certaines fonctionnalités pour communiquer en toute sécurité avec Logstash.