Logstash - Guide rapide

Logstash est un outil basé sur les modèles de filtres / canaux pour collecter, traiter et générer les journaux ou événements. Il aide à centraliser et à analyser en temps réel les journaux et les événements de différentes sources.

Logstash est écrit sur le langage de programmation JRuby qui s'exécute sur la JVM, vous pouvez donc exécuter Logstash sur différentes plates-formes. Il collecte différents types de données comme les journaux, les paquets, les événements, les transactions, les données d'horodatage, etc., à partir de presque tous les types de sources. La source de données peut être les données sociales, le commerce électronique, les articles de presse, le CRM, les données de jeu, les tendances Web, les données financières, l'Internet des objets, les appareils mobiles, etc.

Caractéristiques générales de Logstash

Les caractéristiques générales de Logstash sont les suivantes -

  • Logstash peut collecter des données à partir de différentes sources et les envoyer vers plusieurs destinations.

  • Logstash peut gérer tous les types de données de journalisation comme les journaux Apache, les journaux d'événements Windows, les données sur les protocoles réseau, les données d'entrée standard et bien d'autres.

  • Logstash peut également gérer les requêtes http et les données de réponse.

  • Logstash fournit une variété de filtres, qui aident l'utilisateur à trouver plus de sens dans les données en les analysant et en les transformant.

  • Logstash peut également être utilisé pour gérer les données des capteurs dans l'Internet des objets.

  • Logstash est open source et disponible sous la licence Apache version 2.0.

Concepts clés de Logstash

Les concepts clés de Logstash sont les suivants -

Objet d'événement

Il s'agit de l'objet principal de Logstash, qui encapsule le flux de données dans le pipeline Logstash. Logstash utilise cet objet pour stocker les données d'entrée et ajouter des champs supplémentaires créés lors de l'étape de filtrage.

Logstash propose une API d'événement aux développeurs pour manipuler les événements. Dans ce didacticiel, cet événement est désigné sous différents noms tels que l'événement de données de journalisation, l'événement de journal, les données de journal, les données de journal d'entrée, les données de journal de sortie, etc.

Pipeline

Il comprend des étapes de flux de données dans Logstash, de l'entrée à la sortie. Les données d'entrée sont saisies dans le pipeline et traitées sous la forme d'un événement. Envoie ensuite à une destination de sortie au format souhaité par l'utilisateur ou le système final.

Contribution

Il s'agit de la première étape du pipeline Logstash, qui est utilisé pour obtenir les données dans Logstash pour un traitement ultérieur. Logstash propose divers plugins pour obtenir des données de différentes plates-formes. Certains des plugins les plus couramment utilisés sont - File, Syslog, Redis et Beats.

Filtre

C'est la phase intermédiaire de Logstash, où le traitement réel des événements a lieu. Un développeur peut utiliser des modèles Regex prédéfinis de Logstash pour créer des séquences permettant de différencier les champs des événements et les critères des événements d'entrée acceptés.

Logstash propose divers plugins pour aider le développeur à analyser et à transformer les événements en une structure souhaitable. Certains des plugins de filtre les plus couramment utilisés sont: Grok, Mutate, Drop, Clone et Geoip.

Production

Il s'agit de la dernière étape du pipeline Logstash, où les événements de sortie peuvent être formatés dans la structure requise par les systèmes de destination. Enfin, il envoie l'événement de sortie après un traitement complet à la destination à l'aide de plugins. Certains des plugins les plus couramment utilisés sont - Elasticsearch, File, Graphite, Statsd, etc.

Avantages de Logstash

Les points suivants expliquent les différents avantages de Logstash.

  • Logstash propose des séquences de modèles d'expression régulière pour identifier et analyser les différents champs dans tout événement d'entrée.

  • Logstash prend en charge divers serveurs Web et sources de données pour l'extraction des données de journalisation.

  • Logstash fournit plusieurs plugins pour analyser et transformer les données de journalisation dans n'importe quel format souhaité par l'utilisateur.

  • Logstash est centralisé, ce qui facilite le traitement et la collecte de données à partir de différents serveurs.

  • Logstash prend en charge de nombreuses bases de données, protocoles réseau et autres services comme source de destination pour les événements de journalisation.

  • Logstash utilise le protocole HTTP, qui permet à l'utilisateur de mettre à niveau les versions d'Elasticsearch sans avoir à mettre à niveau Logstash lors d'une étape de verrouillage.

Inconvénients de Logstash

Les points suivants expliquent les différents inconvénients de Logstash.

  • Logstash utilise http, ce qui affecte négativement le traitement des données de journalisation.

  • Travailler avec Logstash peut parfois être un peu complexe, car il nécessite une bonne compréhension et une bonne analyse des données de journalisation d'entrée.

  • Les plugins de filtrage ne sont pas génériques, il se peut donc que l'utilisateur doive trouver la séquence correcte de modèles pour éviter une erreur d'analyse.

Dans le chapitre suivant, nous comprendrons ce qu'est la pile ELK et comment elle aide Logstash.

ELK signifie Elasticsearch, Logstash, et Kibana. Dans la pile ELK, Logstash extrait les données de journalisation ou d'autres événements à partir de différentes sources d'entrée. Il traite les événements et les stocke ultérieurement dans Elasticsearch. Kibana est une interface Web, qui accède au formulaire de données de journalisation Elasticsearch et le visualise.

Logstash et Elasticsearch

Logstash fournit un plugin Elasticsearch d'entrée et de sortie pour lire et écrire des événements de journal dans Elasticsearch. Elasticsearch comme destination de sortie est également recommandé par Elasticsearch Company en raison de sa compatibilité avec Kibana. Logstash envoie les données à Elasticsearch via le protocole http.

Elasticsearch fournit une fonction de téléchargement en masse, qui permet de télécharger les données de différentes sources ou instances Logstash vers un moteur Elasticsearch centralisé. ELK présente les avantages suivants par rapport aux autres solutions DevOps -

  • La pile ELK est plus facile à gérer et peut être mise à l'échelle pour gérer des pétaoctets d'événements.

  • L'architecture de la pile ELK est très flexible et permet une intégration avec Hadoop. Hadoop est principalement utilisé à des fins d'archivage. Logstash peut être directement connecté à Hadoop à l'aide de flume et Elasticsearch fournit un connecteur nommées-hadoop pour vous connecter avec Hadoop.

  • Le coût total de possession d'ELK est bien moindre que ses alternatives.

Logstash et Kibana

Kibana n'interagit pas directement avec Logstash mais via une source de données, qui est Elasticsearch dans la pile ELK. Logstash collecte les données de chaque source et Elasticsearch les analyse à une vitesse très rapide, puis Kibana fournit des informations exploitables sur ces données.

Kibana est un outil de visualisation basé sur le Web, qui aide les développeurs et autres à analyser les variations de grandes quantités d'événements collectées par Logstash dans le moteur Elasticsearch. Cette visualisation facilite la prévision ou la visualisation des changements de tendances des erreurs ou d'autres événements importants de la source d'entrée.

Pour installer Logstash sur le système, nous devons suivre les étapes ci-dessous -

Step 1- Vérifiez la version de votre Java installée sur votre ordinateur; il devrait s'agir de Java 8 car il n'est pas compatible avec Java 9. Vous pouvez le vérifier en -

Dans un système d'exploitation Windows (OS) (à l'aide de l'invite de commande) -

> java -version

Sous UNIX OS (à l'aide du terminal) -

$ echo $JAVA_HOME

Step 2 - Téléchargez Logstash depuis -

https://www.elastic.co/downloads/logstash.

  • Pour le système d'exploitation Windows, téléchargez le fichier ZIP.

  • Pour UNIX OS, téléchargez le fichier TAR.

  • Pour le système d'exploitation Debian, téléchargez le fichier DEB.

  • Pour Red Hat et les autres distributions Linux, téléchargez le fichier RPN.

  • Les utilitaires APT et Yum peuvent également être utilisés pour installer Logstash dans de nombreuses distributions Linux.

Step 3- Le processus d'installation de Logstash est très simple. Voyons comment vous pouvez installer Logstash sur différentes plates-formes.

Note - Ne mettez aucun espace ou deux-points dans le dossier d'installation.

  • Windows OS - Décompressez le package zip et Logstash est installé.

  • UNIX OS - Extrayez le fichier tar à n'importe quel endroit et Logstash est installé.

$tar –xvf logstash-5.0.2.tar.gz

Using APT utility for Linux OS −

  • Téléchargez et installez la clé de signature publique -
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
  • Enregistrez la définition du référentiel -
$ echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo
   tee -a /etc/apt/sources.list.d/elastic-5.x.list
  • Exécuter la mise à jour -
$ sudo apt-get update
  • Vous pouvez maintenant installer en utilisant la commande suivante -
$ sudo apt-get install logstash

Using YUM utility for Debian Linux OS -

  • Téléchargez et installez la clé de signature publique -
$ rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
  • Ajoutez le texte suivant dans le fichier avec le suffixe .repo dans votre o répertoire «/etc/yum.repos.d/». Par exemple,logstash.repo

[logstash-5.x]
name = Elastic repository for 5.x packages
baseurl = https://artifacts.elastic.co/packages/5.x/yum
gpgcheck = 1
gpgkey = https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled = 1
autorefresh = 1
type = rpm-md
  • Vous pouvez maintenant installer Logstash en utilisant la commande suivante -
$ sudo yum install logstash

Step 4- Accédez au répertoire de base de Logstash. Dans le dossier bin, exécutez leelasticsearch.batfichier en cas de fenêtres ou vous pouvez faire de même en utilisant l'invite de commande et via le terminal. Sous UNIX, exécutez le fichier Logstash.

Nous devons spécifier la source d'entrée, la source de sortie et les filtres optionnels. Pour vérifier l'installation, vous pouvez l'exécuter avec la configuration de base en utilisant un flux d'entrée standard (stdin) comme source d'entrée et un flux de sortie standard (stdout) comme source de sortie. Vous pouvez également spécifier la configuration dans la ligne de commande en utilisant–e option.

In Windows −

> cd logstash-5.0.1/bin
> Logstash -e 'input { stdin { } } output { stdout {} }'

In Linux −

$ cd logstash-5.0.1/bin
$ ./logstash -e 'input { stdin { } } output { stdout {} }'

Note- dans le cas de Windows, vous pourriez obtenir une erreur indiquant que JAVA_HOME n'est pas défini. Pour cela, définissez-le dans les variables d'environnement sur «C: \ Program Files \ Java \ jre1.8.0_111» ou sur l'emplacement où vous avez installé java.

Step 5 - Les ports par défaut de l'interface Web Logstash sont de 9600 à 9700 sont définis dans le logstash-5.0.1\config\logstash.yml comme le http.port et il récupérera le premier port disponible dans la plage donnée.

Nous pouvons vérifier si le serveur Logstash est opérationnel en naviguant http://localhost:9600ou si le port est différent, veuillez vérifier l'invite de commande ou le terminal. Nous pouvons voir le port attribué comme «Point de terminaison API Logstash démarré avec succès {: port ⇒ 9600}. Il renverra un objet JSON, qui contient les informations sur le Logstash installé de la manière suivante -

{
   "host":"manu-PC", 
   "version":"5.0.1",
   "http_address":"127.0.0.1:9600",
   "build_date":"2016-11-11T22:28:04+00:00",
   "build_sha":"2d8d6263dd09417793f2a0c6d5ee702063b5fada",
   "build_snapshot":false
}

Dans ce chapitre, nous aborderons l'architecture interne et les différents composants de Logstash.

Architecture du service Logstash

Logstash traite les journaux de différents serveurs et sources de données et se comporte comme l'expéditeur. Les expéditeurs sont utilisés pour collecter les journaux et ceux-ci sont installés dans chaque source d'entrée. Les courtiers aimentRedis, Kafka ou RabbitMQ sont des tampons pour contenir les données des indexeurs, il peut y avoir plusieurs courtiers en tant qu'instances basculées.

Indexeurs comme Lucenesont utilisés pour indexer les journaux pour de meilleures performances de recherche, puis la sortie est stockée dans Elasticsearch ou dans une autre destination de sortie. Les données du stockage de sortie sont disponibles pour Kibana et d'autres logiciels de visualisation.

Architecture interne de Logstash

Le pipeline Logstash se compose de trois composants Input, Filters et Output. La partie d'entrée est chargée de spécifier et d'accéder à la source de données d'entrée telle que le dossier journal duApache Tomcat Server.

Exemple pour expliquer le pipeline Logstash

Le fichier de configuration Logstash contient les détails sur les trois composants de Logstash. Dans ce cas, nous créons un nom de fichier appeléLogstash.conf.

La configuration suivante capture les données d'un journal d'entrée «inlog.log» et les écrit dans un journal de sortie «outlog.log» sans aucun filtre.

Logstash.conf

Le fichier de configuration Logstash copie simplement les données du inlog.log fichier à l'aide du plug-in d'entrée et vide les données du journal vers outlog.log fichier en utilisant le plugin de sortie.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/inlog.log"
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/outlog.log"
   }
}

Exécutez Logstash

Logstash utilise –f option pour spécifier le fichier de configuration.

C:\logstash\bin> logstash –f logstash.conf

inlog.log

Le bloc de code suivant montre les données du journal d'entrée.

Hello tutorialspoint.com

outlog.log

La sortie Logstash contient les données d'entrée dans le champ de message. Logstash ajoute également d'autres champs à la sortie comme l'horodatage, le chemin de la source d'entrée, la version, l'hôte et les balises.

{
   "path":"C:/tpwork/logstash/bin/log/inlog1.log",
   "@timestamp":"2016-12-13T02:28:38.763Z",
   "@version":"1", "host":"Dell-PC",
   "message":" Hello tutorialspoint.com", "tags":[]
}

Comme vous le pouvez, la sortie de Logstash contient plus que les données fournies via le journal d'entrée. La sortie contient le chemin source, l'horodatage, la version, le nom d'hôte et la balise, qui sont utilisés pour représenter les messages supplémentaires tels que les erreurs.

Nous pouvons utiliser des filtres pour traiter les données et les rendre utiles à nos besoins. Dans l'exemple suivant, nous utilisons un filtre pour obtenir les données, ce qui limite la sortie aux seules données avec un verbe comme GET ou POST suivi d'unUnique Resource Identifier.

Logstash.conf

Dans cette configuration Logstash, nous ajoutons un filtre nommé grokpour filtrer les données d'entrée. L'événement du journal d'entrée, qui correspond au journal d'entrée de la séquence de modèles, n'atteint que la destination de sortie avec une erreur. Logstash ajoute une balise nommée "_grokparsefailure" dans les événements de sortie, qui ne correspond pas à la séquence de motifs de filtre Grok.

Logstash propose de nombreux modèles de regex intégrés pour analyser les journaux de serveur populaires comme Apache. Le modèle utilisé ici attend un verbe comme get, post, etc., suivi d'un identifiant de ressource uniforme.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/inlog2.log"
   }
}
filter {
   grok {
      match => {"message" => "%{WORD:verb} %{URIPATHPARAM:uri}"}
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/outlog2.log"
   }
}

Exécutez Logstash

Nous pouvons exécuter Logstash en utilisant la commande suivante.

C:\logstash\bin> logstash –f  Logstash.conf

inlog2.log

Notre fichier d'entrée contient deux événements séparés par un délimiteur par défaut, c'est-à-dire un délimiteur de nouvelle ligne. Le premier événement correspond au modèle spécifié dans GROk et le second non.

GET /tutorialspoint/Logstash
Input 1234

outlog2.log

Nous pouvons voir que le deuxième événement de sortie contient la balise "_grokparsefailure", car il ne correspond pas au modèle de filtre Grok. L'utilisateur peut également supprimer ces événements sans correspondance dans la sortie en utilisant le‘if’ condition dans le plugin de sortie.

{
   "path":"C:/tpwork/logstash/bin/log/inlog2.log",
   "@timestamp":"2016-12-13T02:47:10.352Z","@version":"1","host":"Dell-PC","verb":"GET",
   "message":"GET /tutorialspoint/logstash", "uri":"/tutorialspoint/logstash", "tags":[]
}
{
   "path":"C:/tpwork/logstash/bin/log/inlog2.log",
   "@timestamp":"2016-12-13T02:48:12.418Z", "@version":"1", "host":"Dell-PC",
   "message":"t 1234\r", "tags":["_grokparsefailure"]
}

Les journaux de différents serveurs ou sources de données sont collectés à l'aide des expéditeurs. Un expéditeur est une instance de Logstash installée sur le serveur, qui accède aux journaux du serveur et les envoie à un emplacement de sortie spécifique.

Il envoie principalement la sortie à Elasticsearch pour le stockage. Logstash prend les entrées des sources suivantes -

  • STDIN
  • Syslog
  • Files
  • TCP/UDP
  • Journaux d'événements Microsoft Windows
  • Websocket
  • Zeromq
  • Extensions personnalisées

Collecte de journaux à l'aide du serveur Apache Tomcat 7

Dans cet exemple, nous collectons les journaux du serveur Apache Tomcat 7 installé dans Windows à l'aide du plug-in d'entrée de fichier et les envoyons à l'autre journal.

logstash.conf

Ici, Logstash est configuré pour accéder au journal d'accès d'Apache Tomcat 7 installé localement. Un modèle regex est utilisé dans la définition du chemin du plugin de fichier pour obtenir les données du fichier journal. Celui-ci contient «accès» dans son nom et ajoute un type apache, ce qui aide à différencier les événements apache des autres dans une source de destination centralisée. Enfin, les événements de sortie seront affichés dans le fichier output.log.

input {
   file {
      path => "C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/*access*"
      type => "apache"
   }
} 
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output.log"
   }
}

Exécutez Logstash

Nous pouvons exécuter Logstash en utilisant la commande suivante.

C:\logstash\bin> logstash –f  Logstash.conf

Journal Apache Tomcat

Accédez au serveur Apache Tomcat et à ses applications Web (http://localhost:8080) pour générer des journaux. Les données mises à jour dans les journaux sont lues par Logstash en temps réel et stockées dans output.log comme spécifié dans le fichier de configuration.

Apache Tomcat génère un nouveau fichier journal d'accès en fonction de la date et y consigne les événements d'accès. Dans notre cas, c'était localhost_access_log.2016-12-24.txt dans lelogs répertoire d'Apache Tomcat.

0:0:0:0:0:0:0:1 - - [
   25/Dec/2016:18:37:00 +0800] "GET / HTTP/1.1" 200 11418
0:0:0:0:0:0:0:1 - munish [
   25/Dec/2016:18:37:02 +0800] "GET /manager/html HTTP/1.1" 200 17472
0:0:0:0:0:0:0:1 - - [
   25/Dec/2016:18:37:08 +0800] "GET /docs/ HTTP/1.1" 200 19373
0:0:0:0:0:0:0:1 - - [
   25/Dec/2016:18:37:10 +0800] "GET /docs/introduction.html HTTP/1.1" 200 15399

output.log

Vous pouvez voir dans les événements de sortie, un champ de type est ajouté et l'événement est présent dans le champ de message.

{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   localhost_access_log.2016-12-25.txt",
   "@timestamp":"2016-12-25T10:37:00.363Z","@version":"1","host":"Dell-PC",
   "message":"0:0:0:0:0:0:0:1 - - [25/Dec/2016:18:37:00 +0800] \"GET /
   HTTP/1.1\" 200 11418\r","type":"apache","tags":[]
}
{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   localhost_access_log.2016-12-25.txt","@timestamp":"2016-12-25T10:37:10.407Z",
   "@version":"1","host":"Dell-PC",
   "message":"0:0:0:0:0:0:0:1 - munish [25/Dec/2016:18:37:02 +0800] \"GET /
   manager/html HTTP/1.1\" 200 17472\r","type":"apache","tags":[]
}
{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   localhost_access_log.2016-12-25.txt","@timestamp":"2016-12-25T10:37:10.407Z",
   "@version":"1","host":"Dell-PC",
   "message":"0:0:0:0:0:0:0:1 - - [25/Dec/2016:18:37:08 +0800] \"GET /docs/
   HTTP/1.1\" 200 19373\r","type":"apache","tags":[]
}
{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   localhost_access_log.2016-12-25.txt","@timestamp":"2016-12-25T10:37:20.436Z",
   "@version":"1","host":"Dell-PC",
   "message":"0:0:0:0:0:0:0:1 - - [25/Dec/2016:18:37:10 +0800] \"GET /docs/
   introduction.html HTTP/1.1\" 200 15399\r","type":"apache","tags":[]
}

Collecte de journaux à l'aide du plug-in STDIN

Dans cette section, nous aborderons un autre exemple de collecte de journaux à l'aide de STDIN Plugin.

logstash.conf

C'est un exemple très simple, où Logstash lit les événements saisis par l'utilisateur dans une entrée standard. Dans notre cas, c'est l'invite de commande, qui stocke les événements dans le fichier output.log.

input {
   stdin{}
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output.log"
   }
}

Exécutez Logstash

Nous pouvons exécuter Logstash en utilisant la commande suivante.

C:\logstash\bin> logstash –f  Logstash.conf

Écrivez le texte suivant dans l'invite de commande -

L'utilisateur a entré les deux lignes suivantes. Logstash sépare les événements par le paramètre de délimiteur et sa valeur par défaut est «\ n». L'utilisateur peut changer en changeant la valeur du délimiteur dans le plugin de fichier.

Tutorialspoint.com welcomes you
Simply easy learning

output.log

Le bloc de code suivant montre les données du journal de sortie.

{
   "@timestamp":"2016-12-25T11:41:16.518Z","@version":"1","host":"Dell-PC",
   "message":"tutrialspoint.com welcomes you\r","tags":[]
}
{
   "@timestamp":"2016-12-25T11:41:53.396Z","@version":"1","host":"Dell-PC",
   "message":"simply easy learning\r","tags":[]
}

Logstash prend en charge une vaste gamme de journaux provenant de différentes sources. Il fonctionne avec des sources célèbres comme expliqué ci-dessous.

Collecter les journaux à partir des métriques

Les événements système et autres activités temporelles sont enregistrés dans des métriques. Logstash peut accéder au journal à partir des métriques système et les traiter à l'aide de filtres. Cela permet de montrer à l'utilisateur le flux en direct des événements de manière personnalisée. Les métriques sont vidées selon leflush_interval settingde filtre de métriques et par défaut; il est réglé sur 5 secondes.

Nous suivons les métriques de test générées par Logstash, en rassemblant et en analysant les événements exécutés via Logstash et en affichant le flux en direct sur l'invite de commande.

logstash.conf

Cette configuration contient un plugin de générateur, qui est offert par Logstash pour les métriques de test et définit le paramètre de type sur «généré» pour l'analyse. Dans la phase de filtrage, nous ne traitons que les lignes avec un type généré en utilisant l'instruction «if». Ensuite, le plug-in de métrique compte le champ spécifié dans les paramètres du compteur. Le plug-in de métriques vide le décompte toutes les 5 secondes spécifiées dans leflush_interval.

Enfin, affichez les événements de filtre vers une sortie standard telle qu'une invite de commande à l'aide de codec pluginpour le formatage. Le plugin Codec utilise la valeur [ events ] [ rate_1m ] pour afficher les événements par seconde dans une fenêtre glissante d'une minute.

input {
   generator {
     	type => "generated"
   }
}
filter {
   if [type] == "generated" {
      metrics {
         meter => "events"
         add_tag => "metric"
      }
   }
}
output {
   # only emit events with the 'metric' tag
   if "metric" in [tags] {
      stdout {
         codec => line { format => "rate: %{[events][rate_1m]}"
      }
   }
}

Exécutez Logstash

Nous pouvons exécuter Logstash en utilisant la commande suivante.

>logsaths –f logstash.conf

stdout (invite de commande)

rate: 1308.4
rate: 1308.4
rate: 1368.654529135342
rate: 1416.4796003951449
rate: 1464.974293984808
rate: 1523.3119444107458
rate: 1564.1602979542715
rate: 1610.6496496890895
rate: 1645.2184750334154
rate: 1688.7768007612485
rate: 1714.652283095914
rate: 1752.5150680019278
rate: 1785.9432934744932
rate: 1806.912181962126
rate: 1836.0070454626025
rate: 1849.5669494173826
rate: 1871.3814756851832
rate: 1883.3443123790712
rate: 1906.4879113216743
rate: 1925.9420717997118
rate: 1934.166137658981
rate: 1954.3176526556897
rate: 1957.0107444542625

Collecter les journaux du serveur Web

Les serveurs Web génèrent un grand nombre de journaux concernant l'accès des utilisateurs et les erreurs. Logstash aide à extraire les journaux de différents serveurs à l'aide de plug-ins d'entrée et à les stocker dans un emplacement centralisé.

Nous extrayons les données du stderr logs du serveur Apache Tomcat local et en le plaçant dans le fichier output.log.

logstash.conf

Ce fichier de configuration Logstash demande à Logstash de lire les journaux d'erreurs Apache et d'ajouter une balise nommée «apache-error». Nous pouvons simplement l'envoyer au fichier output.log en utilisant le plugin de sortie de fichier.

input {
   file {
      path => "C:/Program Files/Apache Software Foundation/Tomcat 7.0 /logs/*stderr*"
      type => "apache-error"  
   }
} 
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output.log"
   }
}

Exécutez Logstash

Nous pouvons exécuter Logstash en utilisant la commande suivante.

>Logstash –f Logstash.conf

Exemple de journal d'entrée

Ceci est l'exemple stderr log, qui génère lorsque les événements serveur se produisent dans Apache Tomcat.

C: \ Program Files \ Apache Software Foundation \ Tomcat 7.0 \ logs \ tomcat7-stderr.2016-12-25.log

Dec 25, 2016 7:05:14 PM org.apache.coyote.AbstractProtocol start
INFO: Starting ProtocolHandler ["http-bio-9999"]
Dec 25, 2016 7:05:14 PM org.apache.coyote.AbstractProtocol start
INFO: Starting ProtocolHandler ["ajp-bio-8009"]
Dec 25, 2016 7:05:14 PM org.apache.catalina.startup.Catalina start
INFO: Server startup in 823 ms

output.log

{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
   "@version":"1","host":"Dell-PC",
   "message":"Dec 25, 2016 7:05:14 PM org.apache.coyote.AbstractProtocol start\r",
   "type":"apache-error","tags":[]
}
{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
   "@version":"1","host":"Dell-PC",
   "message":"INFO: Starting ProtocolHandler [
      \"ajp-bio-8009\"]\r","type":"apache-error","tags":[]
}
{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
   "@version":"1","host":"Dell-PC",
   "message":"Dec 25, 2016 7:05:14 PM org.apache.catalina.startup.Catalina start\r",
   "type":"apache-error","tags":[]
}
{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
   "@version":"1","host":"Dell-PC",
   "message":"INFO: Server startup in 823 ms\r","type":"apache-error","tags":[]
}

Collecter des journaux à partir de sources de données

Pour commencer, voyons comment configurer MySQL pour la journalisation. Ajoutez les lignes suivantes dansmy.ini file du serveur de base de données MySQL sous [mysqld].

Sous Windows, il est présent dans le répertoire d'installation de MySQL, qui se trouve dans -

C:\wamp\bin\mysql\mysql5.7.11

Sous UNIX, vous pouvez le trouver dans - /etc/mysql/my.cnf

general_log_file   = "C:/wamp/logs/queries.log"
general_log = 1

logstash.conf

Dans ce fichier de configuration, le plugin de fichier est utilisé pour lire le journal MySQL et l'écrire dans le fichier ouput.log.

input {
   file {
      path => "C:/wamp/logs/queries.log"
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output.log"
   }
}

queries.log

Il s'agit du journal généré par les requêtes exécutées dans la base de données MySQL.

2016-12-25T13:05:36.854619Z   2 Query		select * from test1_users
2016-12-25T13:05:51.822475Z    2 Query	select count(*) from users
2016-12-25T13:05:59.998942Z    2 Query         select count(*) from test1_users

output.log

{
   "path":"C:/wamp/logs/queries.log","@timestamp":"2016-12-25T13:05:37.905Z",
   "@version":"1","host":"Dell-PC",
   "message":"2016-12-25T13:05:36.854619Z    2 Query\tselect * from test1_users",
   "tags":[]
}
{
   "path":"C:/wamp/logs/queries.log","@timestamp":"2016-12-25T13:05:51.938Z",
   "@version":"1","host":"Dell-PC",
   "message":"2016-12-25T13:05:51.822475Z    2 Query\tselect count(*) from users",
   "tags":[]
}
{
   "path":"C:/wamp/logs/queries.log","@timestamp":"2016-12-25T13:06:00.950Z",
   "@version":"1","host":"Dell-PC",
   "message":"2016-12-25T13:05:59.998942Z    2 Query\tselect count(*) from test1_users",
   "tags":[]
}

Logstash reçoit les journaux à l'aide de plugins d'entrée, puis utilise les plugins de filtrage pour analyser et transformer les données. L'analyse et la transformation des journaux sont effectuées en fonction des systèmes présents dans la destination de sortie. Logstash analyse les données de journalisation et transmet uniquement les champs obligatoires. Plus tard, ces champs sont transformés en la forme compatible et compréhensible du système de destination.

Comment analyser les journaux?

L'analyse des journaux est effectuée en utilisant le GROK (Représentation graphique des connaissances) et vous pouvez les trouver dans Github -

https://github.com/elastic/logstash/tree/v1.4.2/patterns.

Logstash fait correspondre les données des journaux avec un modèle GROK spécifié ou une séquence de modèles pour analyser les journaux comme "% {COMBINEDAPACHELOG}", qui est couramment utilisé pour les journaux Apache.

Les données analysées sont plus structurées et faciles à rechercher et à effectuer des requêtes. Logstash recherche les modèles GROK spécifiés dans les journaux d'entrée et extrait les lignes correspondantes des journaux. Vous pouvez utiliser le débogueur GROK pour tester vos modèles GROK.

La syntaxe d'un motif GROK est% {SYNTAX: SEMANTIC}. Le filtre Logstash GROK est écrit sous la forme suivante -

%{PATTERN:FieldName}

Ici, PATTERN représente le modèle GROK et le nom de champ est le nom du champ, qui représente les données analysées dans la sortie.

Par exemple, en utilisant le débogueur GROK en ligne https://grokdebug.herokuapp.com/

Contribution

Un exemple de ligne d'erreur dans un journal -

[Wed Dec 07 21:54:54.048805 2016] [:error] [pid 1234:tid 3456829102]
   [client 192.168.1.1:25007] JSP Notice:  Undefined index: abc in
   /home/manu/tpworks/tutorialspoint.com/index.jsp on line 11

Séquence de motifs GROK

Cette séquence de modèles GROK correspond à l'événement du journal, qui comprend un horodatage suivi du niveau du journal, de l'ID de processus, de l'ID de transaction et d'un message d'erreur.

\[(%{DAY:day} %{MONTH:month} %{MONTHDAY} %{TIME} %{YEAR})\] \[.*:%{LOGLEVEL:loglevel}\]
   \[pid %{NUMBER:pid}:tid %{NUMBER:tid}\] \[client %{IP:clientip}:.*\]
   %{GREEDYDATA:errormsg}

production

La sortie est au format JSON.

{
   "day": [
      "Wed"
   ],
   "month": [
      "Dec"
   ],
   "loglevel": [
      "error"
   ],
   "pid": [
      "1234"
   ],
   "tid": [
      "3456829102"
   ],
   "clientip": [
      "192.168.1.1"
   ],
   "errormsg": [
      "JSP Notice:  Undefined index: abc in
      /home/manu/tpworks/tutorialspoint.com/index.jsp on line 11"
   ]
}

Logstash utilise des filtres au milieu du pipeline entre l'entrée et la sortie. Les filtres des mesures Logstash manipulent et créent des événements tels queApache-Access. De nombreux plugins de filtrage permettent de gérer les événements dans Logstash. Ici, dans un exemple duLogstash Aggregate Filter, nous filtrons la durée de chaque transaction SQL dans une base de données et calculons le temps total.

Installation du plug-in de filtre d'agrégat

Installation du plug-in de filtre d'agrégation à l'aide de l'utilitaire Logstash-plugin. Le plugin Logstash est un fichier batch pour Windows dansbin folder dans Logstash.

>logstash-plugin install logstash-filter-aggregate

logstash.conf

Dans cette configuration, vous pouvez voir trois instructions «if» pour Initializing, Incrementing, et generating la durée totale de la transaction, c'est-à-dire le sql_duration. Le plugin agrégat est utilisé pour ajouter le sql_duration, présent dans chaque événement du journal d'entrée.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input.log"
   }
} 
filter {
   grok {
      match => [
         "message", "%{LOGLEVEL:loglevel} - 
            %{NOTSPACE:taskid} - %{NOTSPACE:logger} - 
            %{WORD:label}( - %{INT:duration:int})?" 
      ]
   }
   if [logger] == "TRANSACTION_START" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] = 0"
         map_action => "create"
      }
   }
   if [logger] == "SQL" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] ||= 0 ;
            map['sql_duration'] += event.get('duration')"
      }
   }
   if [logger] == "TRANSACTION_END" {
      aggregate {
         task_id => "%{taskid}"
         code => "event.set('sql_duration', map['sql_duration'])"
         end_of_task => true
         timeout => 120
      }
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output.log"    
   }
}

Exécutez Logstash

Nous pouvons exécuter Logstash en utilisant la commande suivante.

>logstash –f logstash.conf

input.log

Le bloc de code suivant montre les données du journal d'entrée.

INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end

output.log

Comme spécifié dans le fichier de configuration, la dernière instruction «if» où le journal est - TRANSACTION_END, qui imprime la durée totale de la transaction ou sql_duration. Cela a été mis en évidence en jaune dans le fichier output.log.

{
   "path":"C:/tpwork/logstash/bin/log/input.log","@timestamp": "2016-12-22T19:04:37.214Z",
   "loglevel":"INFO","logger":"TRANSACTION_START","@version": "1","host":"wcnlab-PC",
   "message":"8566 - TRANSACTION_START - start\r","tags":[]
}
{
   "duration":320,"path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-22T19:04:38.366Z","loglevel":"INFO","logger":"SQL",
   "@version":"1","host":"wcnlab-PC","label":"transaction1",
   "message":" INFO - 48566 - SQL - transaction1 - 320\r","taskid":"48566","tags":[]
}
{
   "duration":200,"path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-22T19:04:38.373Z","loglevel":"INFO","logger":"SQL",
   "@version":"1","host":"wcnlab-PC","label":"transaction1",
   "message":" INFO - 48566 - SQL - transaction1 - 200\r","taskid":"48566","tags":[]
}
{
   "sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-22T19:04:38.380Z","loglevel":"INFO","logger":"TRANSACTION_END",
   "@version":"1","host":"wcnlab-PC","label":"end",
   "message":" INFO - 48566 - TRANSACTION_END - end\r","taskid":"48566","tags":[]
}

Logstash propose divers plugins pour transformer le journal analysé. Ces plugins peuventAdd, Delete, et Update champs dans les journaux pour une meilleure compréhension et interrogation dans les systèmes de sortie.

Nous utilisons le Mutate Plugin pour ajouter un nom de champ utilisateur dans chaque ligne du journal d'entrée.

Installez le plugin Mutate Filter

Pour installer le plugin de filtre mutate; nous pouvons utiliser la commande suivante.

>Logstash-plugin install Logstash-filter-mutate

logstash.conf

Dans ce fichier de configuration, le plug-in Mutate est ajouté après le plug-in d'agrégation pour ajouter un nouveau champ.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input.log"
   }
} 
filter {
   grok {
      match => [ "message", "%{LOGLEVEL:loglevel} -
         %{NOTSPACE:taskid} - %{NOTSPACE:logger} -
         %{WORD:label}( - %{INT:duration:int})?" ]
   }
   if [logger] == "TRANSACTION_START" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] = 0"
         map_action => "create"
      }
   }
   if [logger] == "SQL" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] ||= 0 ; 
            map['sql_duration'] += event.get('duration')"
      }
   }
   if [logger] == "TRANSACTION_END" {
      aggregate {
         task_id => "%{taskid}"
         code => "event.set('sql_duration', map['sql_duration'])"
         end_of_task => true
         timeout => 120
      }
   }
   mutate {
      add_field => {"user" => "tutorialspoint.com"}
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output.log"
   }
}

Exécutez Logstash

Nous pouvons exécuter Logstash en utilisant la commande suivante.

>logstash –f logstash.conf

input.log

Le bloc de code suivant montre les données du journal d'entrée.

INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end

output.log

Vous pouvez voir qu'il existe un nouveau champ nommé «utilisateur» dans les événements de sortie.

{
   "path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-25T19:55:37.383Z",
   "@version":"1",
   "host":"wcnlab-PC",
   "message":"NFO - 48566 - TRANSACTION_START - start\r",
   "user":"tutorialspoint.com","tags":["_grokparsefailure"]
}
{
   "duration":320,"path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-25T19:55:37.383Z","loglevel":"INFO","logger":"SQL",
   "@version":"1","host":"wcnlab-PC","label":"transaction1",
   "message":" INFO - 48566 - SQL - transaction1 - 320\r",
   "user":"tutorialspoint.com","taskid":"48566","tags":[]
}
{
   "duration":200,"path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-25T19:55:37.399Z","loglevel":"INFO",
   "logger":"SQL","@version":"1","host":"wcnlab-PC","label":"transaction1",
   "message":" INFO - 48566 - SQL - transaction1 - 200\r",
   "user":"tutorialspoint.com","taskid":"48566","tags":[]
}
{
   "sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-25T19:55:37.399Z","loglevel":"INFO",
   "logger":"TRANSACTION_END","@version":"1","host":"wcnlab-PC","label":"end",
   "message":" INFO - 48566 - TRANSACTION_END - end\r",
   "user":"tutorialspoint.com","taskid":"48566","tags":[]
}

La sortie est la dernière étape du pipeline Logstash, qui envoie les données de filtre des journaux d'entrée vers une destination spécifiée. Logstash propose plusieurs plugins de sortie pour stocker les événements de journal filtrés dans différents moteurs de stockage et de recherche.

Stockage des journaux

Logstash peut stocker les journaux filtrés dans un File, Elasticsearch Engine, stdout, AWS CloudWatch, etc. Protocoles réseau comme TCP, UDP, Websocket peut également être utilisé dans Logstash pour transférer les événements du journal vers des systèmes de stockage distants.

Dans la pile ELK, les utilisateurs utilisent le moteur Elasticsearch pour stocker les événements du journal. Ici, dans l'exemple suivant, nous allons générer des événements de journal pour un moteur Elasticsearch local.

Installation du plug-in de sortie Elasticsearch

Nous pouvons installer le plugin de sortie Elasticsearch avec la commande suivante.

>logstash-plugin install Logstash-output-elasticsearch

logstash.conf

Ce fichier de configuration contient un plugin Elasticsearch, qui stocke l'événement de sortie dans Elasticsearch installé localement.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input.log"
   }
} 
filter {
   grok {
      match => [ "message", "%{LOGLEVEL:loglevel} -
      %{NOTSPACE:taskid} - %{NOTSPACE:logger} -  
      %{WORD:label}( - %{INT:duration:int})?" ]
   }
   if [logger] == "TRANSACTION_START" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] = 0"
         map_action => "create"
      }
   }
   if [logger] == "SQL" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] ||= 0 ;
            map['sql_duration'] += event.get('duration')"
      }
   }
   if [logger] == "TRANSACTION_END" {
      aggregate {
         task_id => "%{taskid}"
         code => "event.set('sql_duration', map['sql_duration'])"
         end_of_task => true
         timeout => 120
      }
   }
   mutate {
      add_field => {"user" => "tutorialspoint.com"}
   }
}
output {
   elasticsearch {
      hosts => ["127.0.0.1:9200"]
   }
}

Input.log

Le bloc de code suivant montre les données du journal d'entrée.

INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end

Démarrez Elasticsearch sur Localhost

Pour démarrer Elasticsearch sur l'hôte local, vous devez utiliser la commande suivante.

C:\elasticsearch\bin> elasticsearch

Une fois qu'Elasticsearch est prêt, vous pouvez le vérifier en tapant l'URL suivante dans votre navigateur.

http://localhost:9200/

Réponse

Le bloc de code suivant montre la réponse d'Elasticsearch sur localhost.

{
   "name" : "Doctor Dorcas",
   "cluster_name" : "elasticsearch",
   "version" : {
      "number" : "2.1.1",
      "build_hash" : "40e2c53a6b6c2972b3d13846e450e66f4375bd71",
      "build_timestamp" : "2015-12-15T13:05:55Z",
      "build_snapshot" : false,
      "lucene_version" : "5.3.1"
   },
   "tagline" : "You Know, for Search"
}

Note - Pour plus d'informations sur Elasticsearch, vous pouvez cliquer sur le lien suivant.

https://www.tutorialspoint.com/elasticsearch/index.html

Maintenant, exécutez Logstash avec le Logstash.conf mentionné ci-dessus

>Logstash –f Logstash.conf

Après avoir collé le texte mentionné ci-dessus dans le journal de sortie, ce texte sera stocké dans Elasticsearch by Logstash. Vous pouvez vérifier les données stockées en tapant l'URL suivante dans le navigateur.

http://localhost:9200/logstash-2017.01.01/_search?pretty

Réponse

Ce sont les données au format JSON stockées dans l'index Logstash-2017.01.01.

{
   "took" : 20,
   "timed_out" : false,
   "_shards" : {
      "total" : 5,
      "successful" : 5,
      "failed" : 0
   },
   "hits" : {
      "total" : 10,
      "max_score" : 1.0,
      "hits" : [ {
         "_index" : "logstash-2017.01.01",
         "_type" : "logs",
         "_id" : "AVlZ9vF8hshdrGm02KOs",
         "_score" : 1.0,
         "_source":{
            "duration":200,"path":"C:/tpwork/logstash/bin/log/input.log", 
            "@timestamp":"2017-01-01T12:17:49.140Z","loglevel":"INFO",
            "logger":"SQL","@version":"1","host":"wcnlab-PC",
            "label":"transaction1",
            "message":" INFO - 48566 - SQL - transaction1 - 200\r",
            "user":"tutorialspoint.com","taskid":"48566","tags":[]
         }
      },
      {
         "_index" : "logstash-2017.01.01",
         "_type" : "logs",
         "_id" : "AVlZ9vF8hshdrGm02KOt",
         "_score" : 1.0,
         "_source":{
            "sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
            "@timestamp":"2017-01-01T12:17:49.145Z","loglevel":"INFO",
            "logger":"TRANSACTION_END","@version":"1","host":"wcnlab-PC",
            "label":"end",
            "message":" INFO - 48566 - TRANSACTION_END - end\r",
            "user":"tutorialspoint.com","taskid":"48566","tags":[]
         }
      }
   }
}

Logstash fournit plusieurs plugins pour prendre en charge divers magasins de données ou moteurs de recherche. Les événements de sortie des journaux peuvent être envoyés à un fichier de sortie, à une sortie standard ou à un moteur de recherche comme Elasticsearch. Il existe trois types de sorties prises en charge dans Logstash, à savoir -

  • Sortie standard
  • Sortie de fichier
  • Sortie nulle

Examinons maintenant chacun de ces éléments en détail.

Sortie standard (stdout)

Il est utilisé pour générer les événements de journal filtrés sous forme de flux de données vers l'interface de ligne de commande. Voici un exemple de génération de la durée totale d'une transaction de base de données vers stdout.

logstash.conf

Ce fichier de configuration contient un plugin de sortie stdout pour écrire la durée totale de sql_duration sur une sortie standard.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input.log"
   }
} 
filter {
   grok {
      match => [
         "message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid}
            - %{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?" 
      ]
   }
   if [logger] == "TRANSACTION_START" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] = 0"
         map_action => "create"
      }
   }
   if [logger] == "SQL" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] ||= 0 ;
            map['sql_duration'] += event.get('duration')"
      }
   }
   if [logger] == "TRANSACTION_END" {
      aggregate {
         task_id => "%{taskid}"
         code => "event.set('sql_duration', map['sql_duration'])"
         end_of_task => true
         timeout => 120
      }
   }
}
output {
   if [logger] == "TRANSACTION_END" {
      stdout {
         codec => line{format => "%{sql_duration}"}
      }
   }
}

Note - Veuillez installer le filtre agrégé, s'il n'est pas déjà installé.

>logstash-plugin install Logstash-filter-aggregate

Exécutez Logstash

Nous pouvons exécuter Logstash en utilisant la commande suivante.

>logstash –f logsatsh.conf

Input.log

Le bloc de code suivant montre les données du journal d'entrée.

INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END – end

stdout (ce sera l'invite de commande dans Windows ou le terminal sous UNIX)

Il s'agit de la durée totale de sql_duration 320 + 200 = 520.

520

Sortie de fichier

Logstash peut également stocker les événements du journal de filtrage dans un fichier de sortie. Nous utiliserons l'exemple mentionné ci-dessus et stockerons la sortie dans un fichier au lieu de STDOUT.

logstash.conf

Ce fichier de configuration Logstash ordonne à Logstash de stocker la durée totale de sql_duration dans un fichier journal de sortie.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input1.log"
   }
} 
filter {
   grok {
      match => [
         "message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid} -
            %{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?" 
      ]
   }
   if [logger] == "TRANSACTION_START" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] = 0"
         map_action => "create"
      }
   }
   if [logger] == "SQL" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] ||= 0 ;
            map['sql_duration'] += event.get('duration')"
      }
   }
   if [logger] == "TRANSACTION_END" {
      aggregate {
         task_id => "%{taskid}"
         code => "event.set('sql_duration', map['sql_duration'])"
         end_of_task => true
         timeout => 120
      }
   }
}
output {
   if [logger] == "TRANSACTION_END" {
      file {
         path => "C:/tpwork/logstash/bin/log/output.log"
         codec => line{format => "%{sql_duration}"}
      }
   }
}

Exécutez logstash

Nous pouvons exécuter Logstash en utilisant la commande suivante.

>logstash –f logsatsh.conf

input.log

Le bloc de code suivant montre les données du journal d'entrée.

INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END – end

output.log

Le bloc de code suivant montre les données du journal de sortie.

520

Sortie nulle

Il s'agit d'un plugin de sortie spécial, utilisé pour analyser les performances des plugins d'entrée et de filtre.

Logstash propose divers plugins pour les trois étapes de son pipeline (entrée, filtre et sortie). Ces plugins aident l'utilisateur à capturer les journaux de diverses sources telles que les serveurs Web, les bases de données, les protocoles sur le réseau, etc.

Après la capture, Logstash peut analyser et transformer les données en informations significatives selon les besoins de l'utilisateur. Enfin, Logstash peut envoyer ou stocker ces informations significatives vers diverses sources de destination telles que Elasticsearch, AWS Cloudwatch, etc.

Plugins d'entrée

Les plugins d'entrée dans Logstash aident l'utilisateur à extraire et à recevoir des journaux de diverses sources. La syntaxe pour utiliser le plugin d'entrée est la suivante -

Input {
   Plugin name {
      Setting 1……
      Setting 2……..
   }
}

Vous pouvez télécharger le plugin d'entrée en utilisant la commande suivante -

>Logstash-plugin install Logstash-input-<plugin name>

L'utilitaire Logstash-plugin est présent dans le bin folderdu répertoire d'installation de Logstash. Le tableau suivant présente une liste des plugins d'entrée proposés par Logstash.

Sr.No. Nom et description du plugin
1

beats

Pour obtenir les données de journalisation ou les événements du framework Elastic Beats.

2

cloudwatch

Pour extraire des événements de CloudWatch, une offre d'API d'Amazon Web Services.

3

couchdb_changes

Événements provenant de l'URI _chages de couchdb expédiés à l'aide de ce plugin.

4

drupal_dblog

Pour extraire les données de journalisation du chien de garde de drupal avec DBLog activé.

5

Elasticsearch

Pour récupérer les résultats des requêtes effectuées dans le cluster Elasticsearch.

6

eventlog

Pour obtenir les événements du journal des événements Windows.

sept

exec

Pour obtenir la sortie de la commande shell en tant qu'entrée dans Logstash.

8

file

Pour obtenir les événements à partir d'un fichier d'entrée. Ceci est utile lorsque le Logstash est installé localement avec la source d'entrée et a accès aux journaux de la source d'entrée.

9

generator

Il est utilisé à des fins de test, ce qui crée des événements aléatoires.

dix

github

Capture les événements du webhook GitHub.

11

graphite

Pour obtenir des données de mesure à partir de l'outil de surveillance du graphite.

12

heartbeat

Il est également utilisé pour les tests et produit des événements semblables à des battements de cœur

13

http

Pour collecter les événements de journal sur deux protocoles réseau, ceux-ci sont http et https.

14

http_poller

Il est utilisé pour décoder la sortie de l'API HTTP en un événement.

15

jdbc

Il convertit les transactions JDBC en un événement dans Logstash.

16

jmx

Pour extraire les métriques des applications Java distantes à l'aide de JMX.

17

log4j

Capturez les événements de l'objet socketAppender de Log4j sur le socket TCP.

18

rss

À la sortie des outils de ligne de commande en tant qu'événement d'entrée dans Logstash.

19

tcp

Capture les événements sur le socket TCP.

20

twitter

Collectez les événements de l'API de streaming Twitter.

21

unix

Collectez les événements sur le socket UNIX.

22

websocket

Capturez les événements via le protocole Websocket.

23

xmpp

Lit les événements via les protocoles Jabber / xmpp.

Paramètres du plugin

Tous les plugins ont leurs paramètres spécifiques, ce qui permet de spécifier les champs importants tels que Port, Path, etc., dans un plugin. Nous discuterons des paramètres de certains des plugins d'entrée.

Fichier

Ce plugin d'entrée est utilisé pour extraire des événements directement à partir de fichiers journaux ou texte présents dans la source d'entrée. Elle fonctionne de la même manière que la commande tail sous UNIX et enregistre le dernier curseur de lecture et ne lit que les nouvelles données ajoutées du fichier d'entrée, mais elle peut être modifiée à l'aide du paramètre star_position. Voici les paramètres de ce plugin d'entrée.

Nom du paramètre Valeur par défaut La description
ajouter le champ {} Ajoutez un nouveau champ à l'événement d'entrée.
close_older 3600 Les fichiers dont la dernière lecture (en secondes) est supérieure à celle spécifiée dans ce plugin sont fermés.
codec "plaine" Il est utilisé pour décoder les données avant d'entrer dans le pipeline Logstash.
délimiteur «\ N» Il est utilisé pour spécifier un nouveau délimiteur de ligne.
Discover_interval 15 Il s'agit de l'intervalle de temps (en secondes) entre la découverte de nouveaux fichiers dans le chemin spécifié.
enable_metric vrai Il est utilisé pour activer ou désactiver le reporting et la collecte de métriques pour le plugin spécifié.
exclure Il est utilisé pour spécifier le nom de fichier ou les modèles, qui doivent être exclus du plugin d'entrée.
Id Pour spécifier une identité unique pour cette instance de plugin.
max_open_files Il spécifie le nombre maximum de fichiers d'entrée par Logstash à tout moment.
chemin Spécifiez le chemin des fichiers et il peut contenir les modèles de nom de fichier.
la position de départ "fin" Vous pouvez passer au «début», si vous le souhaitez; Initialement, Logstash devrait commencer à lire les fichiers depuis le début et pas seulement le nouvel événement du journal.
start_interval 1 Il spécifie l'intervalle de temps en secondes, après lequel Logstash recherche les fichiers modifiés.
Mots clés Pour ajouter des informations supplémentaires, comme Logstash, il ajoute "_grokparsefailure" dans les balises, lorsqu'un événement du journal ne respecte pas le filtre Grok spécifié.
type C'est un champ spécial, que vous pouvez ajouter à un événement d'entrée et il est utile dans les filtres et kibana.

Elasticsearch

Ce plugin particulier est utilisé pour lire les résultats des requêtes de recherche dans un cluster Elasticsearch. Ce qui suit a les paramètres utilisés dans ce plugin -

Nom du paramètre Valeur par défaut La description
ajouter le champ {} Comme dans le plugin de fichier, il est utilisé pour ajouter un champ dans l'événement d'entrée.
ca_file Il est utilisé pour spécifier le chemin du fichier d'autorité de certification SSL.
codec "plaine" Il est utilisé pour décoder les événements d'entrée d'Elasticsearch avant d'entrer dans le pipeline Logstash.
docinfo "faux" Vous pouvez le changer en vrai, si vous souhaitez extraire les informations supplémentaires telles que l'index, le type et l'ID du moteur Elasticsearch.
docinfo_fields ["_index", "_type", "_id"] Vous pouvez supprimer n'importe quel champ que vous ne voulez pas dans votre entrée Logstash.
enable_metric vrai Il est utilisé pour activer ou désactiver le reporting et la collecte de métriques pour cette instance de plugin.
hôtes Il est utilisé pour spécifier les adresses de tous les moteurs elasticsearch, qui seront la source d'entrée de cette instance de Logstash. La syntaxe est hôte: port ou IP: port.
Id Il est utilisé pour donner un numéro d'identité unique à cette instance de plug-in d'entrée spécifique.
indice "logstash- *" Il est utilisé pour spécifier le nom d'index ou un modèle, que Logstash surveillera par Logstash pour l'entrée.
mot de passe À des fins d'authentification.
requete "{\" sort \ ": [\" _ doc \ "]}" Requête pour l'exécution.
ssl faux Activez ou désactivez la couche de socket sécurisée.
Mots clés Pour ajouter des informations supplémentaires dans les événements d'entrée.
type Il est utilisé pour classer les formulaires d'entrée afin qu'il soit facile de rechercher tous les événements d'entrée à des étapes ultérieures.
utilisateur À des fins authentiques.

journal des événements

Ce plugin d'entrée lit les données de l'API win32 des serveurs Windows. Voici les paramètres de ce plugin -

Nom du paramètre Valeur par défaut La description
ajouter le champ {} Identique au plugin de fichier, il est utilisé pour ajouter un champ dans l'événement d'entrée
codec "plaine" Il est utilisé pour décoder les événements d'entrée de Windows; avant d'entrer dans le pipeline Logstash
fichier journal ["Application", "Sécurité", "Système"] Evénements requis dans le fichier journal d'entrée
intervalle 1000 Il est en millisecondes et définit l'intervalle entre deux vérifications consécutives des nouveaux journaux d'événements
Mots clés Pour ajouter des informations supplémentaires dans les événements d'entrée
type Il est utilisé pour classer la forme d'entrée d'un plug-in spécifique dans un type donné, de sorte qu'il soit facile de rechercher tous les événements d'entrée dans les étapes ultérieures

Twitter

Ce plugin d'entrée est utilisé pour collecter le flux de Twitter à partir de son API de streaming. Le tableau suivant décrit les paramètres de ce plugin.

Nom du paramètre Valeur par défaut La description
ajouter le champ {} Identique au plugin de fichier, il est utilisé pour ajouter un champ dans l'événement d'entrée
codec "plaine" Il est utilisé pour décoder les événements d'entrée de Windows; avant d'entrer dans le pipeline Logstash
La clé du consommateur Il contient la clé consommateur de l'application Twitter. Pour plus d'informations, visitezhttps://dev.twitter.com/apps/new
consumer_secret Il contient la clé secrète du consommateur de l'application Twitter. Pour plus d'informations, visitezhttps://dev.twitter.com/apps/new
enable_metric vrai Il est utilisé pour activer ou désactiver le reporting et la collecte de métriques pour cette instance de plugin
suit

Il spécifie les identifiants d'utilisateur séparés par des virgules et LogStash vérifie le statut de ces utilisateurs sur Twitter.

Pour plus d'informations, visitez

https://dev.twitter.com

full_tweet faux Vous pouvez le changer en vrai, si vous voulez que Logstash lise le retour d'objet complet de l'API Twitter
id Il est utilisé pour donner un numéro d'identité unique à cette instance de plug-in d'entrée spécifique
ignore_retweets Faux Vous pouvez changer la valeur true pour ignorer les retweets dans le flux Twitter d'entrée
mots clés C'est un tableau de mots-clés, qui doivent être suivis dans le flux d'entrée des twitters
Langue Il définit la langue des tweets nécessaires à LogStash à partir du flux Twitter d'entrée. Ceci est un tableau d'identifiant, qui définit une langue spécifique dans Twitter
Emplacements Pour filtrer les tweets du flux d'entrée en fonction de l'emplacement spécifié. Ceci est un tableau, qui contient la longitude et la latitude de l'emplacement
oauth_token Il s'agit d'un fichier obligatoire, qui contient un jeton utilisateur oauth. Pour plus d'informations, veuillez visiter le lien suivanthttps://dev.twitter.com/apps
oauth_token_secret Il s'agit d'un fichier obligatoire, qui contient un jeton secret utilisateur oauth. Pour plus d'informations, veuillez visiter le lien suivanthttps://dev.twitter.com/apps
Mots clés Pour ajouter des informations supplémentaires dans les événements d'entrée
type Il est utilisé pour classer la forme d'entrée d'un plug-in spécifique dans un type donné, de sorte qu'il soit facile de rechercher tous les événements d'entrée dans les étapes ultérieures

TCP

TCP est utilisé pour obtenir les événements sur le socket TCP; il peut lire à partir des connexions utilisateur ou du serveur, ce qui est spécifié dans le paramètre de mode. Le tableau suivant décrit les paramètres de ce plugin -

Nom du paramètre Valeur par défaut La description
ajouter le champ {} Identique au plugin de fichier, il est utilisé pour ajouter un champ dans l'événement d'entrée
codec "plaine" Il est utilisé pour décoder les événements d'entrée de Windows; avant d'entrer dans le pipeline Logstash
enable_metric vrai Il est utilisé pour activer ou désactiver le reporting et la collecte de métriques pour cette instance de plugin
hôte "0.0.0.0" L'adresse du système d'exploitation du serveur dont dépend le client
id Il contient la clé consommateur de l'application Twitter
mode "serveur" Il est utilisé pour spécifier que la source d'entrée est le serveur ou le client.
Port Il définit le numéro de port
ssl_cert Il est utilisé pour spécifier le chemin du certificat SSL
ssl_enable faux Activer ou désactiver SSL
ssl_key Pour spécifier le chemin du fichier de clé SSL
Mots clés Pour ajouter des informations supplémentaires dans les événements d'entrée
type Il est utilisé pour classer la forme d'entrée d'un plug-in spécifique dans un type donné, de sorte qu'il soit facile de rechercher tous les événements d'entrée dans les étapes ultérieures

Logstash - Plugins de sortie

Logstash prend en charge diverses sources de sortie et dans différentes technologies telles que la base de données, le fichier, le courrier électronique, la sortie standard, etc.

La syntaxe pour utiliser le plugin de sortie est la suivante -

output {
   Plugin name {
      Setting 1……
      Setting 2……..
   }
}

Vous pouvez télécharger le plugin de sortie en utilisant la commande suivante -

>logstash-plugin install logstash-output-<plugin name>

le Logstash-plugin utilityest présent dans le dossier bin du répertoire d'installation de Logstash. Le tableau suivant décrit les plugins de sortie proposés par Logstash.

Sr.No. Nom et description du plugin
1

CloudWatch

Ce plugin est utilisé pour envoyer des données de métriques agrégées à CloudWatch des services Web Amazon.

2

csv

Il est utilisé pour écrire les événements de sortie séparés par des virgules.

3

Elasticsearch

Il est utilisé pour stocker les journaux de sortie dans l'index Elasticsearch.

4

email

Il est utilisé pour envoyer un e-mail de notification, lorsque la sortie est générée. L'utilisateur peut ajouter des informations sur la sortie dans l'e-mail.

5

exec

Il est utilisé pour exécuter une commande, qui correspond à l'événement de sortie.

6

ganglia

Il tord les métriques à gmond de Gangila.

sept

gelf

Il est utilisé pour produire une sortie pour Graylog2 au format GELF.

8

google_bigquery

Il envoie les événements à Google BigQuery.

9

google_cloud_storage

Il stocke les événements de sortie sur Google Cloud Storage.

dix

graphite

Il est utilisé pour stocker les événements de sortie dans Graphite.

11

graphtastic

Il est utilisé pour écrire les métriques de sortie sous Windows.

12

hipchat

Il est utilisé pour stocker les événements du journal de sortie dans HipChat.

13

http

Il est utilisé pour envoyer les événements du journal de sortie aux points de terminaison http ou https.

14

influxdb

Il est utilisé pour stocker l'événement de sortie dans InfluxDB.

15

irc

Il est utilisé pour écrire les événements de sortie dans irc.

16

mongodb

Il stocke les données de sortie dans MongoDB.

17

nagios

Il est utilisé pour notifier à Nagios les résultats de la vérification passive.

18

nagios_nsca

Il est utilisé pour notifier à Nagios les résultats de la vérification passive via le protocole NSCA.

19

opentsdb

Il stocke les événements de sortie Logstash dans OpenTSDB.

20

pipe

Il diffuse les événements de sortie vers l'entrée standard d'un autre programme.

21

rackspace

Il est utilisé pour envoyer les événements du journal de sortie au service Queue de Rackspace Cloud.

22

redis

Il utilise la commande rpush pour envoyer les données de journalisation de sortie à la file d'attente Redis.

23

riak

Il est utilisé pour stocker les événements de sortie dans la paire clé / valeur distribuée Riak.

24

s3

Il stocke les données de journalisation de sortie sur Amazon Simple Storage Service.

25

sns

Il est utilisé pour envoyer les événements de sortie au service de notification simple d'Amazon.

26

solr_http

Il indexe et stocke les données de journalisation de sortie dans Solr.

27

sps

Il est utilisé pour envoyer les événements à Simple Queue Service d'AWS.

28

statsd

Il est utilisé pour envoyer les données de métrique au démon réseau statsd.

29

stdout

Il est utilisé pour afficher les événements de sortie sur la sortie standard de la CLI comme une invite de commande.

30

syslog

Il est utilisé pour envoyer les événements de sortie au serveur syslog.

31

tcp

Il est utilisé pour envoyer les événements de sortie au socket TCP.

32

udp

Il est utilisé pour pousser les événements de sortie sur UDP.

33

websocket

Il est utilisé pour transmettre les événements de sortie via le protocole WebSocket.

34

xmpp

Il est utilisé pour transmettre les événements de sortie via le protocole XMPP.

Tous les plugins ont leurs paramètres spécifiques, ce qui permet de spécifier les champs importants tels que Port, Path, etc., dans un plugin. Nous discuterons des paramètres de certains des plugins de sortie.

Elasticsearch

Le plugin de sortie Elasticsearch permet à Logstash de stocker la sortie dans les clusters spécifiques du moteur Elasticsearch. C'est l'un des choix les plus connus des utilisateurs car il est livré dans le package d'ELK Stack et fournit donc des solutions de bout en bout pour Devops. Le tableau suivant décrit les paramètres de ce plugin de sortie.

Nom du paramètre Valeur par défaut La description
action indice Il permet de définir l'action effectuée dans Elasticsearch Engine. Les autres valeurs de ces paramètres sont la suppression, la création, la mise à jour, etc.
cacert Il contient le chemin du fichier avec .cer ou .pem pour la validation du certificat du serveur.
codec "plaine" Il est utilisé pour encoder les données de journalisation de sortie avant de les envoyer à la source de destination.
doc_as_upset faux Ce paramètre est utilisé en cas d'action de mise à jour. Il crée un document dans Elasticsearch Engine, si l'ID du document n'est pas spécifié dans le plugin de sortie.
Type de document Il est utilisé pour stocker le même type d'événements dans le même type de document. S'il n'est pas spécifié, le type d'événement est utilisé pour le même.
flush_size 500 Ceci est utilisé pour améliorer les performances du téléchargement groupé dans Elasticsearch
hôtes ["127.0.0.1"] C'est un tableau d'adresses de destination pour la sortie des données de journalisation
idle_flush_time 1 Il définit la limite de temps (seconde) entre les deux rinçages, Logstash force le rinçage après la limite de temps spécifiée dans ce paramètre
indice "logstash -% {+ AAAA.MM.dd}" Il est utilisé pour spécifier l'index du moteur Elasticsearch
manage_temlpate vrai Il est utilisé pour appliquer le modèle par défaut dans Elasticsearch
parent néant Il est utilisé pour spécifier l'id du document parent dans Elasticsearch
mot de passe Il est utilisé pour authentifier la demande auprès d'un cluster sécurisé dans Elasticsearch
chemin Il est utilisé pour spécifier le chemin HTTP d'Elasticsearch.
pipeline néant Il est utilisé pour définir le pipeline d'ingestion, l'utilisateur souhaite s'exécuter pour un événement
Procuration Il est utilisé pour spécifier le proxy HTTP
retry_initial_interval 2 Il est utilisé pour définir l'intervalle de temps initial (secondes) entre les tentatives groupées. Il double après chaque nouvelle tentative jusqu'à ce qu'il atteigne retry_max_interval
retry_max_interval 64 Il est utilisé pour définir l'intervalle de temps maximum pour retry_initial_interval
retry_on_conflict 1 C'est le nombre de tentatives par Elasticsearch pour mettre à jour un document
ssl Pour activer ou désactiver SSL / TLS sécurisé sur Elasticsearch
modèle Il contient le chemin du modèle personnalisé dans Elasticsearch
nom_modèle "logstash" Ceci est utilisé pour nommer le modèle dans Elasticsearch
temps libre 60 C'est le délai d'expiration des requêtes réseau adressées à Elasticsearch
bouleverser "" Il met à jour le document ou si le document_id n'existe pas, il crée un nouveau document dans Elasticsearch
utilisateur Il contient l'utilisateur pour authentifier la requête Logstash dans un cluster Elasticsearch sécurisé

Email

Le plugin de sortie de courrier électronique est utilisé pour avertir l'utilisateur lorsque Logstash génère une sortie. Le tableau suivant décrit les paramètres de ce plugin.

Nom du paramètre Valeur par défaut La description
adresse "Localhost" C'est l'adresse du serveur de messagerie
pièces jointes [] Il contient les noms et les emplacements des fichiers joints
corps "" Il contient le corps de l'e-mail et doit être en texte brut
cc Il contient les adresses e-mail séparées par des virgules pour le cc de l'e-mail
codec "plaine" Il est utilisé pour encoder les données de journalisation de sortie avant de les envoyer à la source de destination.
contenttype "text / html; charset = UTF-8" Il est utilisé pour le type de contenu de l'e-mail
déboguer faux Il est utilisé pour exécuter le relais de messagerie en mode débogage
domaine "localhost" Il est utilisé pour définir le domaine pour envoyer les e-mails
de "[email protected]" Il est utilisé pour spécifier l'adresse e-mail de l'expéditeur
htmlbody "" Il est utilisé pour spécifier le corps de l'e-mail au format html
mot de passe Il est utilisé pour s'authentifier auprès du serveur de messagerie
Port 25 Il permet de définir le port pour communiquer avec le serveur de messagerie
répondre à Il est utilisé pour spécifier l'identifiant de l'e-mail pour le champ de réponse de l'e-mail
matière "" Il contient la ligne d'objet de l'e-mail
use_tls faux Activer ou désactiver TSL pour la communication avec le serveur de messagerie
Nom d'utilisateur Is contient le nom d'utilisateur pour l'authentification auprès du serveur
via "Smtp" Il définit les méthodes d'envoi d'email par Logstash

Http

Ce paramètre est utilisé pour envoyer les événements de sortie via http vers la destination. Ce plugin a les paramètres suivants -

Nom du paramètre Valeur par défaut La description
retries_automatiques 1 Il est utilisé pour définir le nombre de tentatives de requête http par logstash
cacert Il contient le chemin du fichier pour la validation du certificat du serveur
codec "plaine" Il est utilisé pour encoder les données de journalisation de sortie avant de les envoyer à la source de destination.
content_type Je spécifie le type de contenu de la requête http au serveur de destination
biscuits vrai Il est utilisé pour activer ou désactiver les cookies
format "json" Il est utilisé pour définir le format du corps de la requête http
en-têtes Il contient les informations de l'en-tête http
http_method "" Il est utilisé pour spécifier la méthode http utilisée dans la requête par logstash et les valeurs peuvent être "put", "post", "patch", "delete", "get", "head"
request_timeout 60 Il est utilisé pour s'authentifier auprès du serveur de messagerie
URL C'est un paramètre obligatoire pour ce plugin pour spécifier le point de terminaison http ou https

stdout

Le plugin de sortie stdout est utilisé pour écrire les événements de sortie sur la sortie standard de l'interface de ligne de commande. C'est une invite de commande dans Windows et un terminal sous UNIX. Ce plugin a les paramètres suivants -

Nom du paramètre Valeur par défaut La description
codec "plaine" Il est utilisé pour encoder les données de journalisation de sortie avant de les envoyer à la source de destination.
ouvriers 1 Il est utilisé pour spécifier le nombre de travailleurs pour la sortie

statsd

Il s'agit d'un démon réseau utilisé pour envoyer les données des matrices via UDP aux services backend de destination. C'est une invite de commande dans Windows et un terminal sous UNIX. Ce plugin a les paramètres suivants -

Nom du paramètre Valeur par défaut La description
codec "plaine" Il est utilisé pour encoder les données de journalisation de sortie avant de les envoyer à la source de destination.
compter {} Il est utilisé pour définir le nombre à utiliser dans les métriques
décrémenter [] Il est utilisé pour spécifier les noms des métriques de décrémentation
hôte "Localhost" Il contient l'adresse du serveur statsd
incrément [] Il est utilisé pour spécifier les noms de métrique d'incrément
Port 8125 Il contient le port du serveur statsd
taux d'échantillonnage 1 Il est utilisé pour spécifier le taux d'échantillonnage de la métrique
expéditeur "%{hôte}" Il spécifie le nom de l'expéditeur
ensemble {} Il est utilisé pour spécifier une métrique d'ensemble
Horaire {} Il est utilisé pour spécifier une métrique de synchronisation
ouvriers 1 Il est utilisé pour spécifier le nombre de travailleurs pour la sortie

Plugins de filtre

Logstash prend en charge divers plugins de filtrage pour analyser et transformer les journaux d'entrée dans un format plus structuré et plus facile à interroger.

La syntaxe d'utilisation du plugin de filtrage est la suivante -

filter {
   Plugin name {
      Setting 1……
      Setting 2……..
   }
}

Vous pouvez télécharger le plugin de filtrage en utilisant la commande suivante -

>logstash-plugin install logstash-filter-<plugin name>

L'utilitaire Logstash-plugin est présent dans le dossier bin du répertoire d'installation de Logstash. Le tableau suivant décrit les plugins de sortie proposés par Logstash.

Sr.No. Nom et description du plugin
1

aggregate

Ce plugin recueille ou agrège les données de divers événements du même type et les traite dans l'événement final

2

alter

Il permet à l'utilisateur de modifier le champ des événements de journal, que le filtre de mutation ne gère pas

3

anonymize

Il est utilisé pour remplacer les valeurs des champs par un hachage cohérent

4

cipher

Il est utilisé pour crypter les événements de sortie avant de les stocker dans la source de destination

5

clone

Il est utilisé pour créer un double des événements de sortie dans Logstash

6

collate

Il fusionne les événements de différents journaux par leur heure ou leur nombre

sept

csv

Ce plugin analyse les données des journaux d'entrée en fonction du séparateur

8

date

Il analyse les dates des champs de l'événement et les définit comme horodatage de l'événement

9

dissect

Ce plugin aide l'utilisateur à extraire les champs de données non structurées et permet au filtre grok de les analyser correctement.

dix

drop

Il permet de supprimer tous les événements de même type ou toute autre similitude

11

elapsed

Il est utilisé pour calculer le temps entre les événements de début et de fin

12

Elasticsearch

Il est utilisé pour copier les champs des événements de journal précédents présents dans Elasticsearch vers celui en cours dans Logstash

13

extractnumbers

Il est utilisé pour extraire le nombre de chaînes dans les événements du journal

14

geoip

Il ajoute un champ dans l'événement, qui contient la latitude et la longitude de l'emplacement de l'adresse IP présente dans l'événement du journal

15

grok

C'est le plugin de filtrage couramment utilisé pour analyser l'événement pour obtenir les champs

16

i18n

Il supprime les caractères spéciaux d'un fichier dans l'événement de journal

17

json

Il est utilisé pour créer un objet Json structuré en événement ou dans un champ spécifique d'un événement

18

kv

Ce plugin est utile pour parer les paires clé / valeur dans les données de journalisation

19

metrics

Il est utilisé pour agréger des métriques telles que le comptage de la durée de chaque événement

20

multiline

C'est également l'un des plugins de filtrage couramment utilisés, qui aide l'utilisateur en cas de conversion de données de journalisation multiligne en un seul événement.

21

mutate

Ce plugin est utilisé pour renommer, supprimer, remplacer et modifier les champs de vos événements

22

range

Il était utilisé pour vérifier les valeurs numériques des champs dans les événements par rapport à une plage attendue et à la longueur d'une chaîne dans une plage.

23

ruby

Il est utilisé pour exécuter du code Ruby arbitraire

24

sleep

Cela permet à Logstash de dormir pendant une durée spécifiée

25

split

Il est utilisé pour fractionner un champ d'un événement et placer toutes les valeurs fractionnées dans les clones de cet événement

26

xml

Il est utilisé pour créer un événement en couplant les données XML présentes dans les logs

Plugins de codec

Les plugins de codec peuvent faire partie des plugins d'entrée ou de sortie. Ces plugins sont utilisés pour modifier ou formater la présentation des données de journalisation. Logstash propose plusieurs plugins de codec et ceux-ci sont les suivants -

Sr.No. Nom et description du plugin
1

avro

Ce plugin encode sérialiser les événements Logstash en datums avro ou décoder les enregistrements avro en événements Logstash

2

cloudfront

Ce plugin lit les données encodées à partir d'AWS cloudfront

3

cloudtrail

Ce plugin est utilisé pour lire les données depuis AWS cloudtrail

4

collectd

Cela lit les données du protocole binaire appelé collectées via UDP

5

compress_spooler

Il est utilisé pour compresser les événements du journal dans Logstash en lots spoulés

6

dots

Ceci est utilisé pour le suivi des performances en définissant un point pour chaque événement sur stdout

sept

es_bulk

Ceci est utilisé pour convertir les données en masse d'Elasticsearch en événements Logstash, y compris les métadonnées Elasticsearch

8

graphite

Ce codec lit les données du graphite en événements et change l'événement en enregistrements au format graphite

9

gzip_lines

Ce plugin est utilisé pour gérer les données encodées gzip

dix

json

Ceci est utilisé pour convertir un seul élément du tableau Json en un seul événement Logstash

11

json_lines

Il est utilisé pour gérer les données Json avec un délimiteur de nouvelle ligne

12

line

Ce plugin lira et écrira l'événement en un seul live, ce qui signifie qu'après le délimiteur de nouvelle ligne, il y aura un nouvel événement

13

multiline

Il est utilisé pour convertir les données de journalisation multiligne en un seul événement

14

netflow

Ce plugin est utilisé pour convertir les données nertflow v5 / v9 en événements logstash

15

nmap

Il analyse les données de résultat nmap dans un format XML

16

plain

Cela lit le texte sans délimiteurs

17

rubydebug

Ce plugin écrira les événements Logstash de sortie en utilisant la bibliothèque d'impression géniale Ruby

Créez votre propre plugin

Vous pouvez également créer vos propres plugins dans Logstash, qui répondent à vos besoins. L'utilitaire Logstash-plugin est utilisé pour créer des plugins personnalisés. Ici, nous allons créer un plugin de filtre, qui ajoutera un message personnalisé dans les événements.

Générer la structure de base

Un utilisateur peut générer les fichiers nécessaires en utilisant l'option generate de l'utilitaire logstash-plugin ou elle est également disponible sur le GitHub.

>logstash-plugin generate --type filter --name myfilter --path c:/tpwork/logstash/lib

Ici, typeL'option est utilisée pour spécifier que le plugin est soit Input, Output ou Filter. Dans cet exemple, nous créons un plugin de filtre nommémyfilter. L'option path est utilisée pour spécifier le chemin, où vous voulez que votre répertoire de plugins soit créé. Après avoir exécuté la commande mentionnée ci-dessus, vous verrez qu'une structure de répertoire est créée.

Développer le plugin

Vous pouvez trouver le fichier de code du plugin dans le \lib\logstash\filtersdossier dans le répertoire du plugin. L'extension de fichier sera.rb.

Dans notre cas, le fichier de code se trouvait à l'intérieur du chemin suivant -

C:\tpwork\logstash\lib\logstash-filter-myfilter\lib\logstash\filters\myfilter.rb

Nous changeons le message en - par défaut ⇒ "Salut, vous apprenez ceci sur tutorialspoint.com" et sauvegardons le fichier.

Installez le plugin

Pour installer ce plugin, le Gemfile de Logstash doit être modifié. Vous pouvez trouver ce fichier dans le répertoire d'installation de Logstash. Dans notre cas, ce sera dansC:\tpwork\logstash. Modifiez ce fichier à l'aide de n'importe quel éditeur de texte et ajoutez-y le texte suivant.

gem "logstash-filter-myfilter",:path => "C:/tpwork/logstash/lib/logstash-filter-myfilter"

Dans la commande ci-dessus, nous spécifions le nom du plugin ainsi que l'endroit où nous pouvons le trouver pour l'installation. Ensuite, exécutez l'utilitaire Logstash-plugin pour installer ce plugin.

>logstash-plugin install --no-verify

Essai

Ici, nous ajoutons myfilter dans l'un des exemples précédents -

logstash.conf

Ce fichier de configuration Logstash contient myfilter dans la section filter après le plugin grok filter.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input1.log"
   } 
}
filter {
   grok {
      match => [
         "message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid} -
            %{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?" ]
   }
   myfilter{}
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output1.log"
      codec => rubydebug
   }
}

Run logstash

Nous pouvons exécuter Logstash en utilisant la commande suivante.

>logstash –f logsatsh.conf

input.log

Le bloc de code suivant montre les données du journal d'entrée.

INFO - 48566 - TRANSACTION_START - start

output.log

Le bloc de code suivant montre les données du journal de sortie.

{
   "path" => "C:/tpwork/logstash/bin/log/input.log",
   "@timestamp" => 2017-01-07T06:25:25.484Z,
   "loglevel" => "INFO",
   "logger" => "TRANSACTION_END",
   "@version" => "1",
   "host" => "Dell-PC",
   "label" => "end",
   "message" => "Hi, You are learning this on tutorialspoint.com",
   "taskid" => "48566",
   "tags" => []
}

Publiez-le sur Logstash

Un développeur peut également publier son plugin personnalisé sur Logstash en le téléchargeant sur le github et en suivant les étapes standardisées définies par la société Elasticsearch.

Veuillez consulter l'URL suivante pour plus d'informations sur la publication -

https://www.elastic.co/guide/en/logstash/current/contributing-to-logstash.html

Logstash propose des API pour surveiller ses performances. Ces API de surveillance extraient des métriques d'exécution sur Logstash.

API Node Info

Cette API est utilisée pour obtenir les informations sur les nœuds de Logstash. Il renvoie les informations du système d'exploitation, du pipeline Logstash et de la JVM au format JSON.

Vous pouvez extraire les informations en envoyant un get demande à Logstash en utilisant l'URL suivante -

GET http://localhost:9600/_node?pretty

Réponse

Voici la réponse de l'API Node Info.

{
   "host" : "Dell-PC",
   "version" : "5.0.1",
   "http_address" : "127.0.0.1:9600",
   
   "pipeline" : {
      "workers" : 4,
      "batch_size" : 125,
      "batch_delay" : 5,
      "config_reload_automatic" : false,
      "config_reload_interval" : 3
   },
   "os" : {
      "name" : "Windows 7",
      "arch" : "x86",
      "version" : "6.1",
      "available_processors" : 4
   },
   "jvm" : {
      "pid" : 312,
      "version" : "1.8.0_111",
      "vm_name" : "Java HotSpot(TM) Client VM",
      "vm_version" : "1.8.0_111",
      "vm_vendor" : "Oracle Corporation",
      "start_time_in_millis" : 1483770315412,
      
      "mem" : {
         "heap_init_in_bytes" : 16777216,
         "heap_max_in_bytes" : 1046937600,
         "non_heap_init_in_bytes" : 163840,
         "non_heap_max_in_bytes" : 0
      },
      "gc_collectors" : [ "ParNew", "ConcurrentMarkSweep" ]
   }
}

Vous pouvez également obtenir les informations spécifiques de Pipeline, OS et JVM, en ajoutant simplement leurs noms dans l'URL.

GET http://localhost:9600/_node/os?pretty
GET http://localhost:9600/_node/pipeline?pretty
GET http://localhost:9600/_node/jvm?pretty

API Info Plugins

Cette API est utilisée pour obtenir les informations sur les plugins installés dans le Logstash. Vous pouvez récupérer ces informations en envoyant une demande d'obtention à l'URL mentionnée ci-dessous -

GET http://localhost:9600/_node/plugins?pretty

Réponse

Voici la réponse de l'API Plugins Info.

{
   "host" : "Dell-PC",
   "version" : "5.0.1",
   "http_address" : "127.0.0.1:9600",
   "total" : 95,
   "plugins" : [ {
      "name" : "logstash-codec-collectd",
      "version" : "3.0.2"
   },
   {
      "name" : "logstash-codec-dots",
      "version" : "3.0.2"
   },
   {
      "name" : "logstash-codec-edn",
      "version" : "3.0.2"
   },
   {
      "name" : "logstash-codec-edn_lines",
      "version" : "3.0.2"
   },
   ............
}

API Node Stats

Cette API permet d'extraire les statistiques du Logstash (Mémoire, Processus, JVM, Pipeline) dans les objets JSON. Vous pouvez récupérer ces informations en envoyant une demande d'obtention aux URL mentionnées ci-dessous -

GET http://localhost:9600/_node/stats/?pretty
GET http://localhost:9600/_node/stats/process?pretty
GET http://localhost:9600/_node/stats/jvm?pretty
GET http://localhost:9600/_node/stats/pipeline?pretty

API Hot Threads

Cette API récupère les informations sur les threads actifs dans Logstash. Les threads actifs sont les threads java, qui ont une utilisation élevée du processeur et qui s'exécutent plus longtemps que le temps d'exécution normal. Vous pouvez récupérer ces informations en envoyant une demande d'obtention à l'URL mentionnée ci-dessous -

GET http://localhost:9600/_node/hot_threads?pretty

Un utilisateur peut utiliser l'URL suivante pour obtenir la réponse sous une forme plus lisible.

GET http://localhost:9600/_node/hot_threads?human = true

Dans ce chapitre, nous aborderons les aspects de sécurité et de surveillance de Logstash.

surveillance

Logstash est un très bon outil pour surveiller les serveurs et les services dans les environnements de production. Les applications dans l'environnement de production produisent différents types de données de journal comme les journaux d'accès, les journaux d'erreurs, etc. Logstash peut compter ou analyser le nombre d'erreurs, d'accès ou d'autres événements à l'aide de plugins de filtrage. Cette analyse et ce comptage peuvent être utilisés pour surveiller différents serveurs et leurs services.

Logstash propose des plugins comme HTTP Pollerpour surveiller la surveillance de l'état du site Web. Ici, nous surveillons un site Web nommémysite hébergé sur un serveur Apache Tomcat local.

logstash.conf

Dans ce fichier de configuration, le plugin http_poller est utilisé pour atteindre le site spécifié dans le plugin après un intervalle de temps spécifié dans le paramètre d'intervalle. Enfin, il écrit l'état du site sur une sortie standard.

input {
   http_poller {
      urls => {
         site => "http://localhost:8080/mysite"
      }
      request_timeout => 20
      interval => 30
      metadata_target => "http_poller_metadata"
   }
}
output {
   if [http_poller_metadata][code] == 200 {
      stdout {
         codec => line{format => "%{http_poller_metadata[response_message]}"}
      }
   }
   if [http_poller_metadata][code] != 200 {
      stdout {
         codec => line{format => "down"}
      }
   }
}

Exécutez logstash

Nous pouvons exécuter Logstash avec la commande suivante.

>logstash –f logstash.conf

stdout

Si le site est en place, la sortie sera -

Ok

Si nous arrêtons le site en utilisant le Manager App de Tomcat, la sortie deviendra -

down

Sécurité

Logstash fournit de nombreuses fonctionnalités pour une communication sécurisée avec des systèmes externes et prend en charge le mécanisme d'authentification. Tous les plugins Logstash prennent en charge l'authentification et le cryptage via les connexions HTTP.

Sécurité avec protocole HTTP

Il existe des paramètres tels que l'utilisateur et le mot de passe à des fins d'authentification dans divers plugins proposés par Logstash comme dans le plugin Elasticsearch.

elasticsearch {
   user => <username>
   password => <password>
}

L'autre authentification est PKI (public key infrastructure)pour Elasticsearch. Le développeur doit définir deux paramètres dans le plugin de sortie Elasticsearch pour activer l'authentification PKI.

elasticsearch {
   keystore => <string_value>
   keystore_password => <password>
}

Dans le protocole HTTPS, un développeur peut utiliser le certificat de l'autorité pour SSL / TLS.

elasticsearch {
   ssl => true
   cacert => <path to .pem file>
}

Sécurité avec protocole de transport

Pour utiliser le protocole de transport avec Elasticsearch, les utilisateurs doivent définir le paramètre de protocole sur le transport. Cela évite le désassemblage d'objets JSON et conduit à plus d'efficacité.

L'authentification de base est la même que celle effectuée dans le protocole http dans le protocole de sortie Elasticsearch.

elasticsearch {
   protocol => “transport”
   user => <username>
   password => <password>
}

L'authentification PKI a également besoin que les ensembles SSL soient vrais avec d'autres paramètres dans le protocole de sortie Elasticsearch -

elasticsearch {
   protocol => “transport”
   ssl => true
   keystore => <string_value>
   keystore_password => <password>
}

Enfin, la sécurité SSL nécessite un peu plus de paramètres que les autres méthodes de sécurité en communication.

elasticsearch {
   ssl => true
   ssl => true
   keystore => <string_value>
   keystore_password => <password>
   truststore => 
      
        truststore_password => <password> } 
      

Autres avantages de sécurité de Logstash

Logstash peut aider à saisir les sources du système pour éviter les attaques telles que les attaques par déni de service. La surveillance des journaux et l'analyse des différents événements de ces journaux peuvent aider les administrateurs système à vérifier la variation des connexions entrantes et les erreurs. Ces analyses peuvent aider à voir si l'attaque se produit ou va se produire sur les serveurs.

D'autres produits de la société Elasticsearch tels que x-pack et filebeat fournit certaines fonctionnalités pour communiquer en toute sécurité avec Logstash.