Logstash - त्वरित गाइड

लॉगस्टैश लॉग्स या ईवेंट्स को इकट्ठा करने, संसाधित करने और उत्पन्न करने के लिए फ़िल्टर / पाइप पैटर्न पर आधारित एक उपकरण है। यह विभिन्न स्रोतों से लॉग और घटनाओं के वास्तविक समय विश्लेषण को केंद्रीकृत करने और बनाने में मदद करता है।

Logstash JRuby प्रोग्रामिंग भाषा पर लिखा गया है जो JVM पर चलता है, इसलिए आप Logstash को विभिन्न प्लेटफॉर्म पर चला सकते हैं। यह लगभग हर प्रकार के स्रोत से विभिन्न प्रकार के डेटा जैसे लॉग्स, पैकेट्स, इवेंट्स, ट्रांजैक्शंस, टाइमस्टैम्प डेटा आदि को इकट्ठा करता है। डेटा स्रोत सामाजिक डेटा, ई-कॉमर्स, समाचार लेख, सीआरएम, गेम डेटा, वेब रुझान, वित्तीय डेटा, इंटरनेट ऑफ़ थिंग्स, मोबाइल डिवाइस आदि हो सकते हैं।

लॉगस्टैश सामान्य सुविधाएँ

लॉगस्टैश की सामान्य विशेषताएं इस प्रकार हैं -

  • लॉगस्टैश विभिन्न स्रोतों से डेटा एकत्र कर सकता है और कई गंतव्यों को भेज सकता है।

  • लॉगस्टैश सभी प्रकार के लॉगिंग डेटा को संभाल सकता है जैसे अपाचे लॉग्स, विंडोज इवेंट लॉग्स, डेटा ओवर नेटवर्क प्रोटोकॉल, स्टैंडर्ड इनपुट से डेटा और कई अन्य।

  • लॉगस्टैश http अनुरोधों और प्रतिक्रिया डेटा को भी संभाल सकता है।

  • लॉगस्टैश विभिन्न प्रकार के फिल्टर प्रदान करता है, जो उपयोगकर्ता को डेटा को पार्स और परिवर्तित करके अधिक अर्थ खोजने में मदद करता है।

  • लॉगस्टैश का उपयोग इंटरनेट की चीजों में सेंसर डेटा को संभालने के लिए भी किया जा सकता है।

  • लॉगस्टैश खुला स्रोत है और अपाचे लाइसेंस संस्करण 2.0 के तहत उपलब्ध है।

Logstash कुंजी अवधारणाओं

लोगस्टैश की प्रमुख अवधारणाएं इस प्रकार हैं -

घटना वस्तु

यह Logstash में मुख्य वस्तु है, जो Logstash पाइपलाइन में डेटा प्रवाह को एन्क्रिप्ट करता है। लॉगस्टैश इनपुट ऑब्जेक्ट को स्टोर करने और फ़िल्टर चरण के दौरान बनाए गए अतिरिक्त फ़ील्ड को जोड़ने के लिए इस ऑब्जेक्ट का उपयोग करता है।

लॉगस्टैश घटनाक्रम में हेरफेर करने के लिए डेवलपर्स को एक इवेंट एपीआई प्रदान करता है। इस ट्यूटोरियल में, इस इवेंट को विभिन्न नामों जैसे लॉगिंग डेटा इवेंट, लॉग इवेंट, लॉग डेटा, इनपुट लॉग डेटा, आउटपुट लॉग डेटा आदि के साथ संदर्भित किया जाता है।

पाइपलाइन

इसमें लॉगस्टैश में इनपुट से आउटपुट तक डेटा प्रवाह चरणों का समावेश है। इनपुट डेटा को पाइपलाइन में दर्ज किया जाता है और इसे एक घटना के रूप में संसाधित किया जाता है। फिर उपयोगकर्ता या आउटपुट सिस्टम के वांछनीय प्रारूप में आउटपुट गंतव्य पर भेजता है।

इनपुट

यह Logstash पाइपलाइन में पहला चरण है, जिसका उपयोग आगे की प्रक्रिया के लिए Logstash में डेटा प्राप्त करने के लिए किया जाता है। लॉगस्टैश विभिन्न प्लेटफार्मों से डेटा प्राप्त करने के लिए विभिन्न प्लगइन्स प्रदान करता है। सबसे अधिक इस्तेमाल किए जाने वाले कुछ प्लगइन्स हैं - फाइल, सिसलॉग, रेडिस और बीट्स।

फ़िल्टर

यह लॉगस्टैश का मध्य चरण है, जहां घटनाओं का वास्तविक प्रसंस्करण होता है। एक डेवलपर लॉगस्टैश द्वारा पूर्व-परिभाषित रेगेक्स पैटर्न का उपयोग कर सकता है ताकि स्वीकृत इनपुट घटनाओं के लिए घटनाओं और मानदंडों के बीच के अंतर के लिए अनुक्रम बना सकें।

लॉगस्टैश डेवलपर को पार्स करने और घटनाओं को एक वांछित संरचना में बदलने में मदद करने के लिए विभिन्न प्लगइन्स प्रदान करता है। सबसे अधिक उपयोग किए जाने वाले कुछ फ़िल्टर प्लगइन्स हैं - ग्रॉक, म्यूट, ड्रॉप, क्लोन और जियोआईपी।

उत्पादन

यह लॉगस्टैश पाइप लाइन में अंतिम चरण है, जहां आउटपुट घटनाओं को गंतव्य सिस्टम द्वारा आवश्यक संरचना में स्वरूपित किया जा सकता है। अंत में, यह प्लगइन्स का उपयोग करके गंतव्य तक पूर्ण प्रसंस्करण के बाद आउटपुट इवेंट भेजता है। सबसे अधिक उपयोग किए जाने वाले प्लगइन्स में से कुछ हैं - एलेस्टिक्स खोज, फ़ाइल, ग्रेफाइट, स्टैट्सड, आदि।

Logstash के फायदे

निम्नलिखित बिंदु लोगस्टैश के विभिन्न लाभों की व्याख्या करते हैं।

  • लॉगस्टैश किसी भी इनपुट ईवेंट में विभिन्न फ़ील्ड्स को पहचानने और पार्स करने के लिए रेगेक्स पैटर्न अनुक्रम प्रदान करता है।

  • लॉगस्टैश लॉगिंग डेटा को निकालने के लिए विभिन्न प्रकार के वेब सर्वर और डेटा स्रोतों का समर्थन करता है।

  • लॉगस्टैश पार्स और लॉगिंग डेटा को किसी भी उपयोगकर्ता के वांछित प्रारूप में बदलने के लिए कई प्लगइन्स प्रदान करता है।

  • लॉगस्टैश केंद्रीकृत है, जो विभिन्न सर्वरों से डेटा को संसाधित करना और एकत्र करना आसान बनाता है।

  • लॉगस्टैश लॉगिंग इवेंट के लिए एक गंतव्य स्रोत के रूप में कई डेटाबेस, नेटवर्क प्रोटोकॉल और अन्य सेवाओं का समर्थन करता है।

  • Logstash HTTP प्रोटोकॉल का उपयोग करता है, जो लॉस्टश को लॉक स्टेप में अपग्रेड किए बिना उपयोगकर्ता को Elasticsearch संस्करणों को अपग्रेड करने में सक्षम बनाता है।

लॉगस्टैश नुकसान

निम्नलिखित बिंदु लोगस्टैश के विभिन्न नुकसान बताते हैं।

  • लॉगस्टैश http का उपयोग करता है, जो लॉगिंग डेटा के प्रसंस्करण को नकारात्मक रूप से प्रभावित करता है।

  • लॉगस्टैश के साथ काम करना कभी-कभी थोड़ा जटिल हो सकता है, क्योंकि इसमें इनपुट लॉगिंग डेटा की अच्छी समझ और विश्लेषण की आवश्यकता होती है।

  • फ़िल्टर प्लगइन्स सामान्य नहीं हैं, इसलिए, उपयोगकर्ता को पार्सिंग में त्रुटि से बचने के लिए पैटर्न का सही क्रम खोजने की आवश्यकता हो सकती है।

अगले अध्याय में, हम समझेंगे कि ELK Stack क्या है और यह Logstash को कैसे मदद करता है।

ELK खड़ा है Elasticsearch, Logstash, तथा Kibana। ELK स्टैक में, लॉगस्टैश लॉगिंग डेटा या अन्य घटनाओं को विभिन्न इनपुट स्रोतों से निकालता है। यह ईवेंट को संसाधित करता है और बाद में इसे एलेस्टिक्स में संग्रहीत करता है। किबाना एक वेब इंटरफेस है, जो लॉगिंग डेटा फॉर्म को एलीस्टेकर्च में एक्सेस करता है और इसे विज़ुअलाइज़ करता है।

लॉगस्टैश और इलास्टिक्स खोज

लॉगस्टैश इनपुट और आउटपुट प्रदान करता है Elasticsearch प्लगइन पढ़ने और लिखने के लिए Elasticsearch करने के लिए प्लगइन। एलिस्टिक्स खोज कंपनी द्वारा उत्पादन के रूप में भी एलिजाबेथ कंपनी द्वारा कीबाना के साथ संगतता की सिफारिश की जाती है। Logstash http प्रोटोकॉल के ऊपर Elasticsearch में डेटा भेजता है।

Elasticsearch बल्क अपलोड की सुविधा प्रदान करता है, जो विभिन्न स्रोतों या लॉगस्टैश इंस्टेंस से डेटा को केंद्रीकृत Elasticsearch इंजन में अपलोड करने में मदद करता है। अन्य DevOps Solutions पर ELK के निम्नलिखित फायदे हैं -

  • ईएलके स्टैक को प्रबंधित करना आसान है और घटनाओं के पेटाबाइट्स को संभालने के लिए बढ़ाया जा सकता है।

  • ELK स्टैक आर्किटेक्चर बहुत लचीला है और यह Hadoop के साथ एकीकरण प्रदान करता है। Hadoop का उपयोग मुख्य रूप से आर्काइव उद्देश्यों के लिए किया जाता है। फ्लॉस्ट का उपयोग करके लॉगस्टैश को सीधे Hadoop से जोड़ा जा सकता है और Elasticsearch नामक कनेक्टर प्रदान करता हैes-hadoop Hadoop से जुड़ना

  • ईएलके स्वामित्व कुल लागत इसके विकल्पों की तुलना में बहुत कम है।

लॉगस्टैश और किबाना

किबाना सीधे लॉगस्टैश के साथ बातचीत नहीं करता है, लेकिन एक डेटा स्रोत के माध्यम से, जो ईएलके स्टैक में एलिटिक्स खोज है। लॉस्टस्टैश हर स्रोत से डेटा एकत्र करता है और एलीस्टेकर्चर्च बहुत तेज गति से इसका विश्लेषण करता है, फिर किबाना उस डेटा पर कार्रवाई योग्य अंतर्दृष्टि प्रदान करता है।

किबाना एक वेब आधारित विज़ुअलाइज़ेशन टूल है, जो डेवलपर्स और अन्य लोगों को एलिस्टिक्स खोज इंजन में लॉगस्टैश द्वारा एकत्र की गई बड़ी मात्रा में विविधताओं का विश्लेषण करने में मदद करता है। यह विज़ुअलाइज़ेशन, त्रुटियों की प्रवृत्तियों या इनपुट स्रोत की अन्य महत्वपूर्ण घटनाओं में परिवर्तनों को देखना या भविष्यवाणी करना आसान बनाता है।

सिस्टम पर लॉगस्टैश स्थापित करने के लिए, हमें नीचे दिए गए चरणों का पालन करना चाहिए -

Step 1- अपने कंप्यूटर में स्थापित अपने जावा के संस्करण की जांच करें; यह जावा 8 होना चाहिए क्योंकि यह जावा 9 के साथ संगत नहीं है। आप इसे इसके द्वारा देख सकते हैं -

Windows ऑपरेटिंग सिस्टम (OS) में (कमांड प्रॉम्प्ट का उपयोग करके) -

> java -version

UNIX OS में (टर्मिनल का उपयोग करके) -

$ echo $JAVA_HOME

Step 2 - से लॉगस्टैश डाउनलोड करें -

https://www.elastic.co/downloads/logstash।

  • Windows OS के लिए, ZIP फ़ाइल डाउनलोड करें।

  • UNIX OS के लिए, TAR फ़ाइल डाउनलोड करें।

  • डेबियन ओएस के लिए DEB फ़ाइल डाउनलोड करें।

  • Red Hat और अन्य लिनक्स वितरण के लिए, RPN फ़ाइल डाउनलोड करें।

  • एपीटी और यम उपयोगिताओं का उपयोग कई लिनक्स वितरणों में लॉगस्टैश स्थापित करने के लिए भी किया जा सकता है।

Step 3- लॉगस्टैश के लिए इंस्टॉलेशन प्रक्रिया बहुत आसान है। आइए देखें कि आप विभिन्न प्लेटफार्मों पर लॉगस्टैश कैसे स्थापित कर सकते हैं।

Note - इंस्टालेशन फोल्डर में कोई व्हाट्सएप या कोलन न लगाएं।

  • Windows OS - ज़िप पैकेज खोलना और लॉगस्टैश स्थापित किया गया है।

  • UNIX OS - किसी भी स्थान पर टार फाइल निकालें और लॉगस्टैश स्थापित है।

$tar –xvf logstash-5.0.2.tar.gz

Using APT utility for Linux OS −

  • डाउनलोड करें और सार्वजनिक हस्ताक्षर कुंजी स्थापित करें -
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
  • रिपॉजिटरी परिभाषा को सहेजें -
$ echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo
   tee -a /etc/apt/sources.list.d/elastic-5.x.list
  • रन अपडेट -
$ sudo apt-get update
  • अब आप निम्न कमांड का उपयोग करके स्थापित कर सकते हैं -
$ sudo apt-get install logstash

Using YUM utility for Debian Linux OS -

  • डाउनलोड करें और सार्वजनिक हस्ताक्षर कुंजी स्थापित करें -
$ rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
  • फ़ाइल में .repo प्रत्यय के साथ निम्नलिखित पाठ को अपने ओ "/etc/yum.repos.d/" निर्देशिका में जोड़ें। उदाहरण के लिए,logstash.repo

[logstash-5.x]
name = Elastic repository for 5.x packages
baseurl = https://artifacts.elastic.co/packages/5.x/yum
gpgcheck = 1
gpgkey = https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled = 1
autorefresh = 1
type = rpm-md
  • अब आप निम्न कमांड का उपयोग करके लॉगस्टैश स्थापित कर सकते हैं -
$ sudo yum install logstash

Step 4- लॉगस्टैश होम निर्देशिका पर जाएं। बिन फ़ोल्डर के अंदर, चलाएँelasticsearch.batविंडोज़ के मामले में फ़ाइल या आप कमांड प्रॉम्प्ट का उपयोग करके और टर्मिनल के माध्यम से कर सकते हैं। UNIX में, लॉगस्टैश फ़ाइल चलाएँ।

हमें इनपुट स्रोत, आउटपुट स्रोत और वैकल्पिक फिल्टर निर्दिष्ट करने की आवश्यकता है। स्थापना की पुष्टि करने के लिए, आप इसे इनपुट स्रोत के रूप में एक मानक इनपुट स्ट्रीम (स्टडिन) और आउटपुट स्रोत के रूप में एक मानक आउटपुट स्ट्रीम (स्टडआउट) का उपयोग करके मूल कॉन्फ़िगरेशन के साथ चला सकते हैं। आप कमांड लाइन में कॉन्फ़िगरेशन का उपयोग करके भी निर्दिष्ट कर सकते हैं–e विकल्प।

In Windows −

> cd logstash-5.0.1/bin
> Logstash -e 'input { stdin { } } output { stdout {} }'

In Linux −

$ cd logstash-5.0.1/bin
$ ./logstash -e 'input { stdin { } } output { stdout {} }'

Note- खिड़कियों के मामले में, आपको एक त्रुटि मिल सकती है जिसमें कहा गया है कि JAVA_HOME सेट नहीं है। इसके लिए, कृपया इसे पर्यावरण चर में "C: \ Program Files \ Java \ jre1.8.0_111" या उस स्थान पर सेट करें जहाँ आपने जावा स्थापित किया था।

Step 5 - लॉगस्टैश वेब इंटरफेस के लिए डिफ़ॉल्ट पोर्ट 9600 से 9700 में परिभाषित किए गए हैं logstash-5.0.1\config\logstash.yml के रूप में http.port और यह दी गई सीमा में पहले उपलब्ध बंदरगाह को उठाएगा।

हम जांच सकते हैं कि लॉगस्टैश सर्वर ब्राउजिंग करके चल रहा है या नहीं http://localhost:9600या यदि पोर्ट अलग है और फिर कमांड प्रॉम्प्ट या टर्मिनल की जांच करें। हम असाइन किए गए पोर्ट को “सफलतापूर्वक शुरू किया गया लॉगस्टैश API समापन बिंदु {: पोर्ट ⇒ 9600} के रूप में देख सकते हैं। यह एक JSON ऑब्जेक्ट लौटाएगा, जिसमें निम्न तरीके से स्थापित लॉगस्टैश के बारे में जानकारी है -

{
   "host":"manu-PC", 
   "version":"5.0.1",
   "http_address":"127.0.0.1:9600",
   "build_date":"2016-11-11T22:28:04+00:00",
   "build_sha":"2d8d6263dd09417793f2a0c6d5ee702063b5fada",
   "build_snapshot":false
}

इस अध्याय में, हम आंतरिक वास्तुकला और लोगस्टैश के विभिन्न घटकों के बारे में चर्चा करेंगे।

लॉगस्टैश सर्विस आर्किटेक्चर

लॉगस्टैश प्रक्रिया विभिन्न सर्वरों और डेटा स्रोतों से लॉग होती है और यह शिपर के रूप में व्यवहार करती है। लॉग को इकट्ठा करने के लिए शिपर्स का उपयोग किया जाता है और ये हर इनपुट स्रोत में स्थापित होते हैं। दलाल पसंद करते हैंRedis, Kafka या RabbitMQ इंडेक्सर्स के लिए डेटा रखने के लिए बफ़र हैं, उदाहरणों में विफल रहने पर एक से अधिक ब्रोकर हो सकते हैं।

इंडेक्सर्स जैसे Luceneबेहतर खोज प्रदर्शन के लिए लॉग को अनुक्रमित करने के लिए उपयोग किया जाता है और फिर आउटपुट को एलास्टिसर्च या अन्य आउटपुट गंतव्य में संग्रहीत किया जाता है। आउटपुट स्टोरेज में डेटा किबाना और अन्य विज़ुअलाइज़ेशन सॉफ़्टवेयर के लिए उपलब्ध है।

लॉगस्टैश आंतरिक वास्तुकला

लॉगस्टैश पाइपलाइन में तीन घटक होते हैं Input, Filters तथा Output। इनपुट भाग इनपुट डेटा स्रोत को निर्दिष्ट करने और एक्सेस करने के लिए ज़िम्मेदार है जैसे कि लॉग फ़ोल्डरApache Tomcat Server

Logstash पाइपलाइन को समझाने के लिए उदाहरण

लॉगस्टैश कॉन्फ़िगरेशन फ़ाइल में लॉगस्टैश के तीन घटकों के बारे में विवरण होता है। इस मामले में, हम एक फ़ाइल नाम बना रहे हैंLogstash.conf

निम्न कॉन्फ़िगरेशन इनपुट लॉग "inlog.log" से डेटा कैप्चर करता है और इसे किसी भी फ़िल्टर के बिना आउटपुट लॉग "outlog.log" पर लिखता है।

Logstash.conf

लॉगस्टैश कॉन्फ़िगरेशन फ़ाइल डेटा को केवल से कॉपी करता है inlog.log इनपुट प्लगइन का उपयोग करके फ़ाइल और लॉग डेटा को फ्लश करता है outlog.log आउटपुट प्लगइन का उपयोग करके फ़ाइल।

input {
   file {
      path => "C:/tpwork/logstash/bin/log/inlog.log"
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/outlog.log"
   }
}

लॉगस्टैश चलाएं

लॉगस्टैश उपयोग करता है –f विन्यास फाइल को निर्दिष्ट करने का विकल्प।

C:\logstash\bin> logstash –f logstash.conf

inlog.log

निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।

Hello tutorialspoint.com

outlog.log

लॉगस्टैश आउटपुट में संदेश क्षेत्र में इनपुट डेटा होता है। लॉगस्टैश अन्य क्षेत्रों को भी उत्पादन में जोड़ता है जैसे टाइमस्टैम्प, पथ का इनपुट स्रोत, संस्करण, होस्ट और टैग।

{
   "path":"C:/tpwork/logstash/bin/log/inlog1.log",
   "@timestamp":"2016-12-13T02:28:38.763Z",
   "@version":"1", "host":"Dell-PC",
   "message":" Hello tutorialspoint.com", "tags":[]
}

जैसा कि आप कर सकते हैं, लॉगस्टैश के आउटपुट में इनपुट लॉग के माध्यम से दिए गए डेटा से अधिक है। आउटपुट में स्रोत पथ, टाइमस्टैम्प, संस्करण, होस्टनाम और टैग शामिल हैं, जिनका उपयोग त्रुटियों जैसे अतिरिक्त संदेशों का प्रतिनिधित्व करने के लिए किया जाता है।

हम डेटा को संसाधित करने और अपनी आवश्यकताओं के लिए उपयोगी बनाने के लिए फ़िल्टर का उपयोग कर सकते हैं। अगले उदाहरण में, हम डेटा प्राप्त करने के लिए फ़िल्टर का उपयोग कर रहे हैं, जो केवल GET या POST जैसे क्रिया के साथ आउटपुट को प्रतिबंधित करता है, उसके बाद AUnique Resource Identifier

Logstash.conf

इस Logstash कॉन्फ़िगरेशन में, हम एक फ़िल्टर नाम जोड़ते हैं grokइनपुट डेटा को फ़िल्टर करने के लिए। इनपुट लॉग ईवेंट, जो पैटर्न अनुक्रम इनपुट लॉग से मेल खाती है, केवल त्रुटि के साथ आउटपुट गंतव्य पर पहुंचती है। लॉगस्टैश आउटपुट इवेंट्स में "_grokparsefailure" नाम का एक टैग जोड़ता है, जो कि ग्रूव फिल्टर फ़िल्टर अनुक्रम से मेल नहीं खाता है।

लॉगस्टैश अपाचे जैसे लोकप्रिय सर्वर लॉग को पार्स करने के लिए कई इनबिल्ट रेगेक्स पैटर्न प्रदान करता है। यहां इस्तेमाल किया गया पैटर्न एक समान संसाधन पहचानकर्ता द्वारा प्राप्त क्रिया, पद, आदि की अपेक्षा करता है।

input {
   file {
      path => "C:/tpwork/logstash/bin/log/inlog2.log"
   }
}
filter {
   grok {
      match => {"message" => "%{WORD:verb} %{URIPATHPARAM:uri}"}
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/outlog2.log"
   }
}

लॉगस्टैश चलाएं

हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।

C:\logstash\bin> logstash –f  Logstash.conf

inlog2.log

हमारी इनपुट फ़ाइल में डिफ़ॉल्ट सीमांकक द्वारा अलग की गई दो घटनाएं होती हैं, अर्थात, नई लाइन सीमांकक। पहला ईवेंट ग्रॉक में निर्दिष्ट पैटर्न से मेल खाता है और दूसरा नहीं है।

GET /tutorialspoint/Logstash
Input 1234

outlog2.log

हम देख सकते हैं कि दूसरी आउटपुट ईवेंट में "_grokparsefailure" टैग शामिल है, क्योंकि यह ग्रॉक फिल्टर पैटर्न से मेल नहीं खाता है। उपयोगकर्ता इन बेजोड़ घटनाओं को आउटपुट में हटाकर भी उपयोग कर सकता है‘if’ आउटपुट प्लगइन में स्थिति।

{
   "path":"C:/tpwork/logstash/bin/log/inlog2.log",
   "@timestamp":"2016-12-13T02:47:10.352Z","@version":"1","host":"Dell-PC","verb":"GET",
   "message":"GET /tutorialspoint/logstash", "uri":"/tutorialspoint/logstash", "tags":[]
}
{
   "path":"C:/tpwork/logstash/bin/log/inlog2.log",
   "@timestamp":"2016-12-13T02:48:12.418Z", "@version":"1", "host":"Dell-PC",
   "message":"t 1234\r", "tags":["_grokparsefailure"]
}

विभिन्न सर्वर या डेटा स्रोतों से लॉग को शिपर्स का उपयोग करके एकत्र किया जाता है। एक शिपर सर्वर में स्थापित लॉगस्टैश का एक उदाहरण है, जो सर्वर लॉग को एक्सेस करता है और विशिष्ट आउटपुट लोकेशन पर भेजता है।

यह मुख्य रूप से स्टोरेज के लिए आउटपुट को एलीस्टेकर्च में भेजता है। लॉगस्टैश निम्न स्रोतों से इनपुट लेता है -

  • STDIN
  • Syslog
  • Files
  • TCP/UDP
  • Microsoft विंडोज़ घटनाएँ
  • Websocket
  • Zeromq
  • अनुकूलित एक्सटेंशन

Apache Tomcat 7 सर्वर का उपयोग करके लॉग एकत्रित करना

इस उदाहरण में, हम Apache Tomcat 7 सर्वर के लॉग को फाइल इनपुट प्लग इन का उपयोग करके और दूसरे लॉग में भेजने के लिए एकत्रित कर रहे हैं।

logstash.conf

यहां, स्थानीय रूप से स्थापित Apache Tomcat 7 के एक्सेस लॉग को एक्सेस करने के लिए Logstash को कॉन्फ़िगर किया गया है। लॉग फ़ाइल से डेटा प्राप्त करने के लिए फ़ाइल प्लगइन के पथ सेटिंग में एक regex पैटर्न का उपयोग किया जाता है। इसमें इसके नाम में "एक्सेस" शामिल है और यह एक अपाचे प्रकार जोड़ता है, जो एक केंद्रीकृत गंतव्य स्रोत में अपाचे घटनाओं को दूसरे से अलग करने में मदद करता है। अंत में, आउटपुट इवेंट्स output.log में दिखाए जाएंगे।

input {
   file {
      path => "C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/*access*"
      type => "apache"
   }
} 
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output.log"
   }
}

लॉगस्टैश चलाएं

हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।

C:\logstash\bin> logstash –f  Logstash.conf

अपाचे टॉम्केट लॉग

Apache Tomcat Server और उसके वेब ऐप्स तक पहुँचें (http://localhost:8080) लॉग उत्पन्न करने के लिए। लॉग में अपडेट किए गए डेटा को वास्तविक समय में लॉगस्टैश द्वारा पढ़ा जाता है और कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट आउटपुट.लॉग में स्टैक्ड होता है।

Apache Tomcat तिथि के अनुसार एक नई एक्सेस लॉग फ़ाइल बनाता है और वहां एक्सेस इवेंट्स को लॉग करता है। हमारे मामले में, यह localhost_access_log.2016-12-24.txt थाlogs Apache Tomcat की निर्देशिका।

0:0:0:0:0:0:0:1 - - [
   25/Dec/2016:18:37:00 +0800] "GET / HTTP/1.1" 200 11418
0:0:0:0:0:0:0:1 - munish [
   25/Dec/2016:18:37:02 +0800] "GET /manager/html HTTP/1.1" 200 17472
0:0:0:0:0:0:0:1 - - [
   25/Dec/2016:18:37:08 +0800] "GET /docs/ HTTP/1.1" 200 19373
0:0:0:0:0:0:0:1 - - [
   25/Dec/2016:18:37:10 +0800] "GET /docs/introduction.html HTTP/1.1" 200 15399

output.log

आप आउटपुट ईवेंट में देख सकते हैं, एक प्रकार का फ़ील्ड जोड़ा जाता है और ईवेंट संदेश फ़ील्ड में मौजूद होता है।

{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   localhost_access_log.2016-12-25.txt",
   "@timestamp":"2016-12-25T10:37:00.363Z","@version":"1","host":"Dell-PC",
   "message":"0:0:0:0:0:0:0:1 - - [25/Dec/2016:18:37:00 +0800] \"GET /
   HTTP/1.1\" 200 11418\r","type":"apache","tags":[]
}
{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   localhost_access_log.2016-12-25.txt","@timestamp":"2016-12-25T10:37:10.407Z",
   "@version":"1","host":"Dell-PC",
   "message":"0:0:0:0:0:0:0:1 - munish [25/Dec/2016:18:37:02 +0800] \"GET /
   manager/html HTTP/1.1\" 200 17472\r","type":"apache","tags":[]
}
{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   localhost_access_log.2016-12-25.txt","@timestamp":"2016-12-25T10:37:10.407Z",
   "@version":"1","host":"Dell-PC",
   "message":"0:0:0:0:0:0:0:1 - - [25/Dec/2016:18:37:08 +0800] \"GET /docs/
   HTTP/1.1\" 200 19373\r","type":"apache","tags":[]
}
{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   localhost_access_log.2016-12-25.txt","@timestamp":"2016-12-25T10:37:20.436Z",
   "@version":"1","host":"Dell-PC",
   "message":"0:0:0:0:0:0:0:1 - - [25/Dec/2016:18:37:10 +0800] \"GET /docs/
   introduction.html HTTP/1.1\" 200 15399\r","type":"apache","tags":[]
}

STDIN प्लगइन का उपयोग करके लॉग एकत्रित करना

इस खंड में, हम लॉग का एक और उदाहरण का उपयोग करके चर्चा करेंगे STDIN Plugin

logstash.conf

यह एक बहुत ही सरल उदाहरण है, जहां लॉगस्टैश उपयोगकर्ता द्वारा मानक इनपुट में दर्ज की गई घटनाओं को पढ़ रहा है। हमारे मामले में, यह कमांड प्रॉम्प्ट है, जो आउटपुट.लॉग फ़ाइल में घटनाओं को संग्रहीत करता है।

input {
   stdin{}
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output.log"
   }
}

लॉगस्टैश चलाएं

हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।

C:\logstash\bin> logstash –f  Logstash.conf

कमांड प्रॉम्प्ट में निम्नलिखित टेक्स्ट लिखें -

उपयोगकर्ता ने निम्नलिखित दो पंक्तियों में प्रवेश किया। लॉगस्टैश घटनाओं को सीमांकक सेटिंग द्वारा अलग करता है और डिफ़ॉल्ट रूप से इसका मूल्य '\ n' है। उपयोगकर्ता फ़ाइल प्लगइन में सीमांकक के मान को बदलकर बदल सकता है।

Tutorialspoint.com welcomes you
Simply easy learning

output.log

निम्न कोड ब्लॉक आउटपुट लॉग डेटा दिखाता है।

{
   "@timestamp":"2016-12-25T11:41:16.518Z","@version":"1","host":"Dell-PC",
   "message":"tutrialspoint.com welcomes you\r","tags":[]
}
{
   "@timestamp":"2016-12-25T11:41:53.396Z","@version":"1","host":"Dell-PC",
   "message":"simply easy learning\r","tags":[]
}

लॉगस्टैश विभिन्न स्रोतों से लॉग की एक विशाल श्रृंखला का समर्थन करता है। यह नीचे वर्णित के रूप में प्रसिद्ध स्रोतों के साथ काम कर रहा है।

मेट्रिक्स से लॉग इकट्ठा करें

सिस्टम इवेंट और अन्य समय की गतिविधियाँ मैट्रिक्स में दर्ज की जाती हैं। लॉगस्टैश सिस्टम मेट्रिक्स से लॉग तक पहुंच सकता है और फिल्टर का उपयोग करके उन्हें संसाधित कर सकता है। यह उपयोगकर्ता को अनुकूलित तरीके से घटनाओं का लाइव फीड दिखाने में मदद करता है। मेट्रिक्स के अनुसार फ्लश किया जाता हैflush_interval settingमीट्रिक फ़िल्टर और डिफ़ॉल्ट रूप से; यह 5 सेकंड के लिए सेट है।

हम लॉगस्टैश द्वारा निर्मित टेस्ट मेट्रिक्स को ट्रैक कर रहे हैं, लॉगस्टैश के माध्यम से चल रही घटनाओं का विश्लेषण और विश्लेषण कर कमांड प्रॉम्प्ट पर लाइव फीड दिखा रहे हैं।

logstash.conf

इस कॉन्फ़िगरेशन में एक जनरेटर प्लगइन होता है, जो टेस्ट मेट्रिक्स के लिए लॉगस्टैश द्वारा पेश किया जाता है और पार्सिंग के लिए "जेनरेट" करने के लिए टाइप सेटिंग सेट करता है। फ़िल्टरिंग चरण में, हम केवल 'if' स्टेटमेंट का उपयोग करके एक जेनरेट किए गए टाइप के साथ लाइनों को प्रोसेस कर रहे हैं। फिर, मेट्रिक्स प्लगइन मीटर सेटिंग्स में निर्दिष्ट फ़ील्ड को गिनता है। मेट्रिक्स प्लगइन में निर्दिष्ट प्रत्येक 5 सेकंड के बाद गिनती को फ्लश करता हैflush_interval

अंत में, एक मानक आउटपुट जैसे फ़िल्टर प्रॉम्प्ट को आउटपुट करें जैसे कमांड प्रॉम्प्ट का उपयोग करके codec pluginस्वरूपण के लिए। 1 मिनट की स्लाइडिंग विंडो में प्रति सेकंड ईवेंट को आउटपुट करने के लिए कोडेक प्लगइन [ घटनाओं ] [ rate_1m ] मूल्य का उपयोग कर रहा है ।

input {
   generator {
     	type => "generated"
   }
}
filter {
   if [type] == "generated" {
      metrics {
         meter => "events"
         add_tag => "metric"
      }
   }
}
output {
   # only emit events with the 'metric' tag
   if "metric" in [tags] {
      stdout {
         codec => line { format => "rate: %{[events][rate_1m]}"
      }
   }
}

लॉगस्टैश चलाएं

हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।

>logsaths –f logstash.conf

stdout (कमांड प्रॉम्प्ट)

rate: 1308.4
rate: 1308.4
rate: 1368.654529135342
rate: 1416.4796003951449
rate: 1464.974293984808
rate: 1523.3119444107458
rate: 1564.1602979542715
rate: 1610.6496496890895
rate: 1645.2184750334154
rate: 1688.7768007612485
rate: 1714.652283095914
rate: 1752.5150680019278
rate: 1785.9432934744932
rate: 1806.912181962126
rate: 1836.0070454626025
rate: 1849.5669494173826
rate: 1871.3814756851832
rate: 1883.3443123790712
rate: 1906.4879113216743
rate: 1925.9420717997118
rate: 1934.166137658981
rate: 1954.3176526556897
rate: 1957.0107444542625

वेब सर्वर से लॉग इकट्ठा करें

वेब सर्वर उपयोगकर्ता पहुंच और त्रुटियों के संबंध में बड़ी संख्या में लॉग उत्पन्न करते हैं। लॉगस्टैश इनपुट प्लग इन का उपयोग करके विभिन्न सर्वरों से लॉग निकालने में मदद करता है और उन्हें एक केंद्रीकृत स्थान पर स्टैश करता है।

हम इसमें से डेटा निकाल रहे हैं stderr logs स्थानीय Apache Tomcat सर्वर और इसे output.log में मार रहा है।

logstash.conf

यह लॉगस्टैश कॉन्फ़िगरेशन फ़ाइल लॉगस्टैश को अपाचे त्रुटि लॉग को पढ़ने और "अपाचे-एरर" नामक टैग जोड़ने के लिए निर्देशित करता है। हम फ़ाइल आउटपुट प्लगइन का उपयोग करके इसे आउटपुट पर भेज सकते हैं।

input {
   file {
      path => "C:/Program Files/Apache Software Foundation/Tomcat 7.0 /logs/*stderr*"
      type => "apache-error"  
   }
} 
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output.log"
   }
}

लॉगस्टैश चलाएं

हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।

>Logstash –f Logstash.conf

इनपुट लॉग का नमूना

यह नमूना है stderr log, जो Apache Tomcat में सर्वर घटनाओं के होने पर उत्पन्न होता है।

C: \ Program Files \ Apache Software Foundation \ Tomcat 7.0 \ log \ tomcat7-stderr.2016-12-25.log

Dec 25, 2016 7:05:14 PM org.apache.coyote.AbstractProtocol start
INFO: Starting ProtocolHandler ["http-bio-9999"]
Dec 25, 2016 7:05:14 PM org.apache.coyote.AbstractProtocol start
INFO: Starting ProtocolHandler ["ajp-bio-8009"]
Dec 25, 2016 7:05:14 PM org.apache.catalina.startup.Catalina start
INFO: Server startup in 823 ms

output.log

{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
   "@version":"1","host":"Dell-PC",
   "message":"Dec 25, 2016 7:05:14 PM org.apache.coyote.AbstractProtocol start\r",
   "type":"apache-error","tags":[]
}
{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
   "@version":"1","host":"Dell-PC",
   "message":"INFO: Starting ProtocolHandler [
      \"ajp-bio-8009\"]\r","type":"apache-error","tags":[]
}
{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
   "@version":"1","host":"Dell-PC",
   "message":"Dec 25, 2016 7:05:14 PM org.apache.catalina.startup.Catalina start\r",
   "type":"apache-error","tags":[]
}
{
   "path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
   tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
   "@version":"1","host":"Dell-PC",
   "message":"INFO: Server startup in 823 ms\r","type":"apache-error","tags":[]
}

डेटा स्रोतों से लॉग इकट्ठा करें

शुरुआत करने के लिए, आइए समझते हैं कि लॉगिंग के लिए MySQL कॉन्फ़िगर कैसे करें। में निम्नलिखित पंक्तियाँ जोड़ेंmy.ini file MySQL डेटाबेस सर्वर के तहत [mysqld]।

विंडोज़ में, यह MySQL की स्थापना निर्देशिका के अंदर मौजूद है, जो कि में है -

C:\wamp\bin\mysql\mysql5.7.11

UNIX में, आप इसे पा सकते हैं - /etc/mysql/my.cnf

general_log_file   = "C:/wamp/logs/queries.log"
general_log = 1

logstash.conf

इस कॉन्फ़िगर फ़ाइल में, फ़ाइल प्लगइन का उपयोग MySQL लॉग को पढ़ने और ouput.log पर लिखने के लिए किया जाता है।

input {
   file {
      path => "C:/wamp/logs/queries.log"
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output.log"
   }
}

queries.log

यह MySQL डेटाबेस में निष्पादित प्रश्नों द्वारा उत्पन्न लॉग है।

2016-12-25T13:05:36.854619Z   2 Query		select * from test1_users
2016-12-25T13:05:51.822475Z    2 Query	select count(*) from users
2016-12-25T13:05:59.998942Z    2 Query         select count(*) from test1_users

output.log

{
   "path":"C:/wamp/logs/queries.log","@timestamp":"2016-12-25T13:05:37.905Z",
   "@version":"1","host":"Dell-PC",
   "message":"2016-12-25T13:05:36.854619Z    2 Query\tselect * from test1_users",
   "tags":[]
}
{
   "path":"C:/wamp/logs/queries.log","@timestamp":"2016-12-25T13:05:51.938Z",
   "@version":"1","host":"Dell-PC",
   "message":"2016-12-25T13:05:51.822475Z    2 Query\tselect count(*) from users",
   "tags":[]
}
{
   "path":"C:/wamp/logs/queries.log","@timestamp":"2016-12-25T13:06:00.950Z",
   "@version":"1","host":"Dell-PC",
   "message":"2016-12-25T13:05:59.998942Z    2 Query\tselect count(*) from test1_users",
   "tags":[]
}

लॉगस्टैश इनपुट प्लगइन्स का उपयोग करके लॉग प्राप्त करता है और फिर डेटा को पार्स और बदलने के लिए फ़िल्टर प्लगइन्स का उपयोग करता है। लॉग के पार्सिंग और परिवर्तन आउटपुट गंतव्य में मौजूद सिस्टम के अनुसार किए जाते हैं। लॉगस्टैश लॉगिंग डेटा को पार्स करता है और केवल आवश्यक फ़ील्ड को आगे बढ़ाता है। बाद में, इन क्षेत्रों को गंतव्य प्रणाली के संगत और समझने योग्य रूप में बदल दिया जाता है।

कैसे लॉग पार्स करने के लिए?

लॉग का पार्सिंग मेरे प्रयोग से किया जाता है GROK (ज्ञान का चित्रमय प्रतिनिधित्व) पैटर्न और आप उन्हें गितुब में पा सकते हैं -

https://github.com/elastic/logstash/tree/v1.4.2/patterns।

लॉगस्टैश "% {COMBINEDAPACHELOG} जैसे लॉग को पार्स करने के लिए एक निर्दिष्ट सकल पैटर्न या एक पैटर्न अनुक्रम के साथ लॉग के डेटा से मेल खाता है, जो आमतौर पर एपाचे लॉग के लिए उपयोग किया जाता है।

पार्स किया गया डेटा अधिक संरचित और खोज करने में आसान और क्वेरी करने के लिए आसान है। लॉगस्टैश इनपुट लॉग में निर्दिष्ट सकल पैटर्न की खोज करता है और लॉग से मिलान लाइनों को निकालता है। आप अपने सकल पैटर्न का परीक्षण करने के लिए सकल डिबगर का उपयोग कर सकते हैं।

सकल पैटर्न का सिंटैक्स% {SYNTAX: SEMANTIC} है। Logstash GROK फ़िल्टर निम्नलिखित रूप में लिखा गया है -

%{PATTERN:FieldName}

यहाँ, PATTERN GROK पैटर्न का प्रतिनिधित्व करता है और फ़ील्डनाम फ़ील्ड का नाम है, जो आउटपुट में पार्स किए गए डेटा का प्रतिनिधित्व करता है।

उदाहरण के लिए, ऑनलाइन सकल डिबगर का उपयोग करना https://grokdebug.herokuapp.com/

इनपुट

एक लॉग में एक नमूना त्रुटि लाइन -

[Wed Dec 07 21:54:54.048805 2016] [:error] [pid 1234:tid 3456829102]
   [client 192.168.1.1:25007] JSP Notice:  Undefined index: abc in
   /home/manu/tpworks/tutorialspoint.com/index.jsp on line 11

सकल पैटर्न अनुक्रम

यह सकल पैटर्न अनुक्रम लॉग इवेंट से मेल खाता है, जिसमें एक टाइमस्टैम्प शामिल है जिसके बाद लॉग स्तर, प्रक्रिया आईडी, लेन-देन आईडी और एक त्रुटि संदेश है।

\[(%{DAY:day} %{MONTH:month} %{MONTHDAY} %{TIME} %{YEAR})\] \[.*:%{LOGLEVEL:loglevel}\]
   \[pid %{NUMBER:pid}:tid %{NUMBER:tid}\] \[client %{IP:clientip}:.*\]
   %{GREEDYDATA:errormsg}

उत्पादन

आउटपुट JSON फॉर्मेट में है।

{
   "day": [
      "Wed"
   ],
   "month": [
      "Dec"
   ],
   "loglevel": [
      "error"
   ],
   "pid": [
      "1234"
   ],
   "tid": [
      "3456829102"
   ],
   "clientip": [
      "192.168.1.1"
   ],
   "errormsg": [
      "JSP Notice:  Undefined index: abc in
      /home/manu/tpworks/tutorialspoint.com/index.jsp on line 11"
   ]
}

लॉगस्टैश इनपुट और आउटपुट के बीच पाइपलाइन के बीच में फिल्टर का उपयोग करता है। लॉगस्टश के उपायों के फिल्टर हेरफेर करते हैं और जैसी घटनाओं को बनाते हैंApache-Access। लॉगस्टैश में घटनाओं को प्रबंधित करने के लिए कई फ़िल्टर प्लगइन्स का उपयोग किया जाता है। यहाँ, एक उदाहरण मेंLogstash Aggregate Filter, हम एक डेटाबेस में हर SQL लेनदेन की अवधि को फ़िल्टर कर रहे हैं और कुल समय की गणना कर रहे हैं।

एग्रीगेट फ़िल्टर प्लगइन स्थापित करना

लॉगस्टैश-प्लगइन यूटिलिटी का उपयोग करके एग्रीगेट फ़िल्टर प्लगइन स्थापित करना। लॉगस्टैश-प्लगइन विंडोज़ में एक बैच फ़ाइल हैbin folder लोगस्टैश में।

>logstash-plugin install logstash-filter-aggregate

logstash.conf

इस कॉन्फ़िगरेशन में, आप तीन 'if' स्टेटमेंट देख सकते हैं Initializing, Incrementing, तथा generating लेन-देन की कुल अवधि, यानी sql_duration। एग्रीगेट प्लगइन का उपयोग sql_duration को जोड़ने के लिए किया जाता है, जो इनपुट लॉग के प्रत्येक ईवेंट में मौजूद होता है।

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input.log"
   }
} 
filter {
   grok {
      match => [
         "message", "%{LOGLEVEL:loglevel} - 
            %{NOTSPACE:taskid} - %{NOTSPACE:logger} - 
            %{WORD:label}( - %{INT:duration:int})?" 
      ]
   }
   if [logger] == "TRANSACTION_START" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] = 0"
         map_action => "create"
      }
   }
   if [logger] == "SQL" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] ||= 0 ;
            map['sql_duration'] += event.get('duration')"
      }
   }
   if [logger] == "TRANSACTION_END" {
      aggregate {
         task_id => "%{taskid}"
         code => "event.set('sql_duration', map['sql_duration'])"
         end_of_task => true
         timeout => 120
      }
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output.log"    
   }
}

लॉगस्टैश चलाएं

हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।

>logstash –f logstash.conf

input.log

निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।

INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end

output.log

कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट किया गया है, अंतिम 'अगर' कथन जहां लकड़हारा है - TRANSACTION_END, जो कुल लेनदेन समय या sql_duration को प्रिंट करता है। आउटपुट में इसे पीले रंग में हाइलाइट किया गया है।

{
   "path":"C:/tpwork/logstash/bin/log/input.log","@timestamp": "2016-12-22T19:04:37.214Z",
   "loglevel":"INFO","logger":"TRANSACTION_START","@version": "1","host":"wcnlab-PC",
   "message":"8566 - TRANSACTION_START - start\r","tags":[]
}
{
   "duration":320,"path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-22T19:04:38.366Z","loglevel":"INFO","logger":"SQL",
   "@version":"1","host":"wcnlab-PC","label":"transaction1",
   "message":" INFO - 48566 - SQL - transaction1 - 320\r","taskid":"48566","tags":[]
}
{
   "duration":200,"path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-22T19:04:38.373Z","loglevel":"INFO","logger":"SQL",
   "@version":"1","host":"wcnlab-PC","label":"transaction1",
   "message":" INFO - 48566 - SQL - transaction1 - 200\r","taskid":"48566","tags":[]
}
{
   "sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-22T19:04:38.380Z","loglevel":"INFO","logger":"TRANSACTION_END",
   "@version":"1","host":"wcnlab-PC","label":"end",
   "message":" INFO - 48566 - TRANSACTION_END - end\r","taskid":"48566","tags":[]
}

लॉगस्टैश पार्स किए गए लॉग को बदलने के लिए विभिन्न प्लगइन्स प्रदान करता है। ये प्लगइन्स कर सकते हैंAdd, Delete, तथा Update आउटपुट सिस्टम में बेहतर समझ और क्वेरी के लिए लॉग में फ़ील्ड।

हम उपयोग कर रहे हैं Mutate Plugin इनपुट लॉग की प्रत्येक पंक्ति में फ़ील्ड नाम उपयोगकर्ता जोड़ने के लिए।

म्यूट फ़िल्टर फ़िल्टर स्थापित करें

म्यूट फ़िल्टर फ़िल्टर स्थापित करने के लिए; हम निम्नलिखित कमांड का उपयोग कर सकते हैं।

>Logstash-plugin install Logstash-filter-mutate

logstash.conf

इस कॉन्फ़िग फ़ाइल में, एक नए फ़ील्ड को जोड़ने के लिए Aggregate Plugin के बाद Mutate Plugin जोड़ा जाता है।

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input.log"
   }
} 
filter {
   grok {
      match => [ "message", "%{LOGLEVEL:loglevel} -
         %{NOTSPACE:taskid} - %{NOTSPACE:logger} -
         %{WORD:label}( - %{INT:duration:int})?" ]
   }
   if [logger] == "TRANSACTION_START" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] = 0"
         map_action => "create"
      }
   }
   if [logger] == "SQL" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] ||= 0 ; 
            map['sql_duration'] += event.get('duration')"
      }
   }
   if [logger] == "TRANSACTION_END" {
      aggregate {
         task_id => "%{taskid}"
         code => "event.set('sql_duration', map['sql_duration'])"
         end_of_task => true
         timeout => 120
      }
   }
   mutate {
      add_field => {"user" => "tutorialspoint.com"}
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output.log"
   }
}

लॉगस्टैश चलाएं

हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।

>logstash –f logstash.conf

input.log

निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।

INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end

output.log

आप देख सकते हैं कि आउटपुट घटनाओं में "उपयोगकर्ता" नाम का एक नया क्षेत्र है।

{
   "path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-25T19:55:37.383Z",
   "@version":"1",
   "host":"wcnlab-PC",
   "message":"NFO - 48566 - TRANSACTION_START - start\r",
   "user":"tutorialspoint.com","tags":["_grokparsefailure"]
}
{
   "duration":320,"path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-25T19:55:37.383Z","loglevel":"INFO","logger":"SQL",
   "@version":"1","host":"wcnlab-PC","label":"transaction1",
   "message":" INFO - 48566 - SQL - transaction1 - 320\r",
   "user":"tutorialspoint.com","taskid":"48566","tags":[]
}
{
   "duration":200,"path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-25T19:55:37.399Z","loglevel":"INFO",
   "logger":"SQL","@version":"1","host":"wcnlab-PC","label":"transaction1",
   "message":" INFO - 48566 - SQL - transaction1 - 200\r",
   "user":"tutorialspoint.com","taskid":"48566","tags":[]
}
{
   "sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
   "@timestamp":"2016-12-25T19:55:37.399Z","loglevel":"INFO",
   "logger":"TRANSACTION_END","@version":"1","host":"wcnlab-PC","label":"end",
   "message":" INFO - 48566 - TRANSACTION_END - end\r",
   "user":"tutorialspoint.com","taskid":"48566","tags":[]
}

आउटपुट लॉगस्टैश पाइपलाइन में अंतिम चरण है, जो इनपुट डेटा से निर्दिष्ट गंतव्य तक फ़िल्टर डेटा भेजता है। लॉगस्टैश फ़िल्टर किए गए लॉग ईवेंट को विभिन्न अलग-अलग स्टोरेज और सर्च इंजनों पर स्टैश करने के लिए कई आउटपुट प्लगइन्स प्रदान करता है।

भंडारण लॉग

लॉगस्टैश फ़िल्टर किए गए लॉग को एक में स्टोर कर सकता है File, Elasticsearch Engine, stdout, AWS CloudWatch, आदि जैसे नेटवर्क प्रोटोकॉल TCP, UDP, Websocket लॉग इवेंट में दूरस्थ स्टोरेज सिस्टम में लॉग इवेंट को स्थानांतरित करने के लिए भी उपयोग किया जा सकता है।

ELK स्टैक में, उपयोगकर्ता लॉग इवेंट्स को संग्रहीत करने के लिए Elasticsearch इंजन का उपयोग करते हैं। यहां, निम्नलिखित उदाहरण में, हम एक स्थानीय इलास्टिक्स खोज इंजन के लिए लॉग ईवेंट उत्पन्न करेंगे।

Elasticsearch आउटपुट प्लगइन स्थापित करना

हम निम्न कमांड के साथ एलीस्टेकर्च आउटपुट प्लगइन स्थापित कर सकते हैं।

>logstash-plugin install Logstash-output-elasticsearch

logstash.conf

इस कॉन्फिग फ़ाइल में एलियस्टिक्स खोज प्लगइन होता है, जो स्थानीय रूप से स्थापित एलिटिक्स खोज में आउटपुट इवेंट को संग्रहीत करता है।

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input.log"
   }
} 
filter {
   grok {
      match => [ "message", "%{LOGLEVEL:loglevel} -
      %{NOTSPACE:taskid} - %{NOTSPACE:logger} -  
      %{WORD:label}( - %{INT:duration:int})?" ]
   }
   if [logger] == "TRANSACTION_START" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] = 0"
         map_action => "create"
      }
   }
   if [logger] == "SQL" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] ||= 0 ;
            map['sql_duration'] += event.get('duration')"
      }
   }
   if [logger] == "TRANSACTION_END" {
      aggregate {
         task_id => "%{taskid}"
         code => "event.set('sql_duration', map['sql_duration'])"
         end_of_task => true
         timeout => 120
      }
   }
   mutate {
      add_field => {"user" => "tutorialspoint.com"}
   }
}
output {
   elasticsearch {
      hosts => ["127.0.0.1:9200"]
   }
}

Input.log

निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।

INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end

एलिजाबेथ पर स्थानीय लोगों की खोज शुरू करें

एलिज़ाबेथ को लोकलहोस्ट पर शुरू करने के लिए, आपको निम्न कमांड का उपयोग करना चाहिए।

C:\elasticsearch\bin> elasticsearch

एक बार एलिटिक्स खोज तैयार होने के बाद, आप इसे अपने ब्राउज़र में निम्न URL लिखकर जाँच सकते हैं।

http://localhost:9200/

प्रतिक्रिया

निम्नलिखित कोड ब्लॉक में एलिजाबेथ की प्रतिक्रिया को स्थानीयहोस्ट में दिखाया गया है।

{
   "name" : "Doctor Dorcas",
   "cluster_name" : "elasticsearch",
   "version" : {
      "number" : "2.1.1",
      "build_hash" : "40e2c53a6b6c2972b3d13846e450e66f4375bd71",
      "build_timestamp" : "2015-12-15T13:05:55Z",
      "build_snapshot" : false,
      "lucene_version" : "5.3.1"
   },
   "tagline" : "You Know, for Search"
}

Note - इलास्टिक्स खोज के बारे में अधिक जानकारी के लिए, आप निम्न लिंक पर क्लिक कर सकते हैं।

https://www.tutorialspoint.com/elasticsearch/index.html

अब, उपर्युक्त Logstash.conf के साथ लॉगस्टैश चलाएं

>Logstash –f Logstash.conf

उपर्युक्त पाठ को आउटपुट लॉग में चिपकाने के बाद, उस पाठ को लॉस्टश द्वारा एलिस्टिक्स में संग्रहीत किया जाएगा। आप ब्राउज़र में निम्न URL टाइप करके संग्रहीत डेटा की जांच कर सकते हैं।

http://localhost:9200/logstash-2017.01.01/_search?pretty

प्रतिक्रिया

यह JSON प्रारूप में डेटा है जो कि Logstash-2017.01.01 सूचकांक में संग्रहीत है।

{
   "took" : 20,
   "timed_out" : false,
   "_shards" : {
      "total" : 5,
      "successful" : 5,
      "failed" : 0
   },
   "hits" : {
      "total" : 10,
      "max_score" : 1.0,
      "hits" : [ {
         "_index" : "logstash-2017.01.01",
         "_type" : "logs",
         "_id" : "AVlZ9vF8hshdrGm02KOs",
         "_score" : 1.0,
         "_source":{
            "duration":200,"path":"C:/tpwork/logstash/bin/log/input.log", 
            "@timestamp":"2017-01-01T12:17:49.140Z","loglevel":"INFO",
            "logger":"SQL","@version":"1","host":"wcnlab-PC",
            "label":"transaction1",
            "message":" INFO - 48566 - SQL - transaction1 - 200\r",
            "user":"tutorialspoint.com","taskid":"48566","tags":[]
         }
      },
      {
         "_index" : "logstash-2017.01.01",
         "_type" : "logs",
         "_id" : "AVlZ9vF8hshdrGm02KOt",
         "_score" : 1.0,
         "_source":{
            "sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
            "@timestamp":"2017-01-01T12:17:49.145Z","loglevel":"INFO",
            "logger":"TRANSACTION_END","@version":"1","host":"wcnlab-PC",
            "label":"end",
            "message":" INFO - 48566 - TRANSACTION_END - end\r",
            "user":"tutorialspoint.com","taskid":"48566","tags":[]
         }
      }
   }
}

लॉगस्टैश विभिन्न डेटा स्टोर या खोज इंजन का समर्थन करने के लिए कई प्लगइन्स प्रदान करता है। लॉग की आउटपुट घटनाओं को आउटपुट फ़ाइल, मानक आउटपुट या एलिटिक्स खोज जैसे खोज इंजन में भेजा जा सकता है। लॉगस्टैश में तीन प्रकार के समर्थित आउटपुट हैं, जो हैं -

  • मानक आउटपुट
  • फ़ाइल आउटपुट
  • अशक्त उत्पादन

आइए अब हम इनमें से प्रत्येक के बारे में विस्तार से चर्चा करें।

मानक आउटपुट (स्टडआउट)

इसका उपयोग फ़िल्टर किए गए लॉग ईवेंट को कमांड लाइन इंटरफ़ेस पर डेटा स्ट्रीम के रूप में उत्पन्न करने के लिए किया जाता है। यहां एक डेटाबेस लेनदेन की कुल अवधि को स्टडआउट करने के लिए उत्पन्न करने का एक उदाहरण है।

logstash.conf

इस config फ़ाइल में मानक sql_duration को मानक आउटपुट में लिखने के लिए एक stdout आउटपुट प्लगइन होता है।

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input.log"
   }
} 
filter {
   grok {
      match => [
         "message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid}
            - %{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?" 
      ]
   }
   if [logger] == "TRANSACTION_START" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] = 0"
         map_action => "create"
      }
   }
   if [logger] == "SQL" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] ||= 0 ;
            map['sql_duration'] += event.get('duration')"
      }
   }
   if [logger] == "TRANSACTION_END" {
      aggregate {
         task_id => "%{taskid}"
         code => "event.set('sql_duration', map['sql_duration'])"
         end_of_task => true
         timeout => 120
      }
   }
}
output {
   if [logger] == "TRANSACTION_END" {
      stdout {
         codec => line{format => "%{sql_duration}"}
      }
   }
}

Note - पहले से स्थापित नहीं है, तो कुल फिल्टर स्थापित करें।

>logstash-plugin install Logstash-filter-aggregate

लॉगस्टैश चलाएं

हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।

>logstash –f logsatsh.conf

Input.log

निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।

INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END – end

stdout (यह UNIX में विंडो या टर्मिनल में कमांड प्रॉम्प्ट होगा)

यह कुल sql_duration 320 + 200 = 520 है।

520

फ़ाइल आउटपुट

लॉगस्टैश फ़िल्टर लॉग ईवेंट को आउटपुट फ़ाइल में संग्रहीत कर सकता है। हम उपर्युक्त उदाहरण का उपयोग करेंगे और आउटपुट को STDOUT के बजाय किसी फ़ाइल में संग्रहीत करेंगे।

logstash.conf

यह Logstash config फाइल लॉग करता है, कुल sql_duration को आउटपुट लॉग फ़ाइल में संग्रहीत करने के लिए।

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input1.log"
   }
} 
filter {
   grok {
      match => [
         "message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid} -
            %{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?" 
      ]
   }
   if [logger] == "TRANSACTION_START" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] = 0"
         map_action => "create"
      }
   }
   if [logger] == "SQL" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] ||= 0 ;
            map['sql_duration'] += event.get('duration')"
      }
   }
   if [logger] == "TRANSACTION_END" {
      aggregate {
         task_id => "%{taskid}"
         code => "event.set('sql_duration', map['sql_duration'])"
         end_of_task => true
         timeout => 120
      }
   }
}
output {
   if [logger] == "TRANSACTION_END" {
      file {
         path => "C:/tpwork/logstash/bin/log/output.log"
         codec => line{format => "%{sql_duration}"}
      }
   }
}

लॉगस्टैश चलाएं

हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।

>logstash –f logsatsh.conf

input.log

निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।

INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END – end

output.log

निम्न कोड ब्लॉक आउटपुट लॉग डेटा दिखाता है।

520

अशक्त उत्पादन

यह एक विशेष आउटपुट प्लगइन है, जिसका उपयोग इनपुट और फ़िल्टर प्लगइन्स के प्रदर्शन का विश्लेषण करने के लिए किया जाता है।

Logstash अपनी पाइपलाइन (इनपुट, फ़िल्टर और आउटपुट) के सभी तीन चरणों के लिए विभिन्न प्लगइन्स प्रदान करता है। ये प्लग-इन उपयोगकर्ता को विभिन्न स्रोतों जैसे वेब सर्वर, डेटाबेस, ओवर नेटवर्क प्रोटोकॉल आदि से लॉग कैप्चर करने में मदद करते हैं।

कैप्चर करने के बाद, लॉगस्टैश डेटा को उपयोगकर्ता द्वारा आवश्यकतानुसार सार्थक जानकारी में बदल सकता है। अंत में, लॉगस्टैश विभिन्न गंतव्य स्रोतों जैसे कि एलीस्टेकर्च, एडब्ल्यूएस क्लाउडवॉच आदि के लिए उस सार्थक जानकारी को भेज या संग्रहीत कर सकता है।

इनपुट प्लगइन्स

लॉगस्टैश में इनपुट प्लगइन्स उपयोगकर्ता को विभिन्न स्रोतों से लॉग निकालने और प्राप्त करने में मदद करता है। इनपुट प्लगइन का उपयोग करने के लिए सिंटैक्स निम्नानुसार है -

Input {
   Plugin name {
      Setting 1……
      Setting 2……..
   }
}

आप निम्न कमांड का उपयोग करके इनपुट प्लगइन डाउनलोड कर सकते हैं -

>Logstash-plugin install Logstash-input-<plugin name>

Logstash- प्लगइन उपयोगिता में मौजूद है bin folderलॉगस्टैश इंस्टॉलेशन डायरेक्टरी। निम्न तालिका में लॉगस्टैश द्वारा प्रस्तावित इनपुट प्लगइन्स की एक सूची है।

अनु क्रमांक। प्लगइन नाम और विवरण
1

beats

लोचदार बीट्स ढांचे से लॉगिंग डेटा या घटनाओं को प्राप्त करने के लिए।

2

cloudwatch

क्लाउडवेच से घटनाओं को निकालने के लिए, अमेज़ॅन वेब सेवाओं द्वारा एक एपीआई प्रस्ताव।

3

couchdb_changes

इस प्लगइन का उपयोग करके couchdb के _chages URI के ईवेंट।

4

drupal_dblog

सक्षम DBLog के साथ ड्रुपल के वॉचडॉग लॉगिंग डेटा को निकालने के लिए।

5

Elasticsearch

इलास्टिसर्च क्लस्टर में किए गए प्रश्नों के परिणामों को प्राप्त करने के लिए।

6

eventlog

विंडोज़ इवेंट लॉग से घटनाओं को प्राप्त करने के लिए।

7

exec

लॉगस्टैश में इनपुट के रूप में शेल कमांड आउटपुट प्राप्त करने के लिए।

8

file

इनपुट फ़ाइल से घटनाओं को प्राप्त करने के लिए। यह तब उपयोगी होता है, जब लॉगस्टैश स्थानीय रूप से इनपुट स्रोत के साथ स्थापित होता है और इनपुट स्रोत लॉग तक पहुंच रखता है।

9

generator

इसका उपयोग परीक्षण उद्देश्यों के लिए किया जाता है, जो यादृच्छिक घटनाओं को बनाता है।

10

github

GitHub webhook की घटनाओं को दर्शाता है।

1 1

graphite

ग्रेफाइट मॉनिटरिंग टूल से मेट्रिक्स डेटा प्राप्त करने के लिए।

12

heartbeat

इसका उपयोग परीक्षण के लिए भी किया जाता है और यह घटनाओं की तरह दिल की धड़कन पैदा करता है

13

http

दो नेटवर्क प्रोटोकॉल और उन http और https पर लॉग ईवेंट को इकट्ठा करने के लिए।

14

http_poller

यह एक घटना के लिए HTTP एपीआई आउटपुट को डीकोड करने के लिए उपयोग किया जाता है।

15

jdbc

यह JDBC लेनदेन को Logstash में एक ईवेंट में कनवर्ट करता है।

16

jmx

JMX का उपयोग करके दूरस्थ जावा अनुप्रयोगों से मैट्रिक्स निकालना।

17

log4j

TCP सॉकेट पर Log4j के सॉकेटऐपेंडर ऑब्जेक्ट से ईवेंट कैप्चर करें।

18

rss

लॉगस्टैश में इनपुट इवेंट के रूप में कमांड लाइन टूल्स के आउटपुट के लिए।

19

tcp

टीसीपी सॉकेट पर घटनाओं को कैप्चर करता है।

20

twitter

ट्विटर स्ट्रीमिंग एपीआई से घटनाओं को ले लीजिए।

21

unix

UNIX सॉकेट पर ईवेंट एकत्र करें।

22

websocket

वेबसोकेट प्रोटोकॉल पर ईवेंट कैप्चर करें।

23

xmpp

Jabber / xmpp प्रोटोकॉल पर ईवेंट पढ़ता है।

प्लगइन सेटिंग्स

सभी प्लगइन्स की अपनी विशिष्ट सेटिंग्स हैं, जो एक प्लगइन में पोर्ट, पथ, आदि जैसे महत्वपूर्ण क्षेत्रों को निर्दिष्ट करने में मदद करता है। हम कुछ इनपुट प्लगइन्स की सेटिंग्स पर चर्चा करेंगे।

फ़ाइल

इस इनपुट प्लगइन का उपयोग इनपुट स्रोत में मौजूद लॉग या टेक्स्ट फ़ाइलों से घटनाओं को सीधे निकालने के लिए किया जाता है। यह UNIX में टेल कमांड के समान काम करता है और अंतिम रीड कर्सर को बचाने और इनपुट फ़ाइल से केवल नए एपेंडेड डेटा को पढ़ता है, लेकिन इसे star_position सेटिंग का उपयोग करके बदला जा सकता है। इस इनपुट प्लगइन की सेटिंग्स निम्नलिखित हैं।

नाम सेट करना डिफ़ॉल्ट मान विवरण
क्षेत्र जोड़ें {} इनपुट घटना के लिए एक नया क्षेत्र जोड़ें।
close_older 3600 इस प्लगइन में निर्दिष्ट से अधिक आखिरी बार (सेकंड में) पढ़ने वाली फाइलें बंद हो गई हैं।
कोडेक "सादे" इसका उपयोग लॉगस्टैश पाइपलाइन में प्रवेश करने से पहले डेटा को डीकोड करने के लिए किया जाता है।
सीमांकक "\ N" इसका उपयोग एक नई रेखा परिसीमन को निर्दिष्ट करने के लिए किया जाता है।
discover_interval 15 यह निर्दिष्ट पथ में नई फ़ाइलों की खोज के बीच का समय अंतराल (सेकंड में) है।
enable_metric सच इसका उपयोग निर्दिष्ट प्लगइन के लिए मीट्रिक के रिपोर्टिंग और संग्रह को सक्षम या अक्षम करने के लिए किया जाता है।
निकालना इसका उपयोग फ़ाइल नाम या पैटर्न को निर्दिष्ट करने के लिए किया जाता है, जिसे इनपुट प्लगइन से बाहर रखा जाना चाहिए।
ईद उस प्लगइन उदाहरण के लिए एक विशिष्ट पहचान निर्दिष्ट करने के लिए।
max_open_files यह किसी भी समय लॉगस्टैश द्वारा इनपुट फ़ाइलों की अधिकतम संख्या को निर्दिष्ट करता है।
पथ फ़ाइलों का पथ निर्दिष्ट करें और इसमें फ़ाइल नाम के पैटर्न हो सकते हैं।
शुरुआत की स्थिति "समाप्त" यदि आप चाहते हैं कि आप "शुरुआत" में बदल सकते हैं; शुरू में लॉगस्टैश को शुरू से ही फाइलों को पढ़ना शुरू करना चाहिए न कि केवल नए लॉग इवेंट को।
start_interval 1 यह सेकंड में समय अंतराल को निर्दिष्ट करता है, जिसके बाद लॉगस्टैश संशोधित फ़ाइलों की जांच करता है।
टैग लॉगस्टैश जैसी किसी भी अतिरिक्त जानकारी को जोड़ने के लिए, यह टैग्स में "_grokparsefailure" जोड़ता है, जब कोई लॉग इवेंट निर्दिष्ट ग्रॉक फिल्टर का पालन करने में विफल रहा।
प्रकार यह एक विशेष क्षेत्र है, जिसे आप एक इनपुट इवेंट में जोड़ सकते हैं और यह फिल्टर और किबाना में उपयोगी है।

Elasticsearch

इस विशेष प्लगइन का उपयोग एलिटिक्सखोज क्लस्टर में खोज क्वेरी के परिणामों को पढ़ने के लिए किया जाता है। इस प्लगइन में निम्नलिखित सेटिंग्स का उपयोग किया गया है -

नाम सेट करना डिफ़ॉल्ट मान विवरण
क्षेत्र जोड़ें {} फ़ाइल प्लगइन के समान ही, इसका उपयोग इनपुट ईवेंट में फ़ील्ड को जोड़ने के लिए किया जाता है।
ca_file इसका उपयोग SSL प्रमाणपत्र प्राधिकरण फ़ाइल का पथ निर्दिष्ट करने के लिए किया जाता है।
कोडेक "सादे" इसका उपयोग लॉगस्टैश पाइपलाइन में प्रवेश करने से पहले एलिटिक्स खोज से इनपुट घटनाओं को डीकोड करने के लिए किया जाता है।
docinfo "असत्य" आप इसे सच में बदल सकते हैं, यदि आप एलाटिस खोज इंजन से इंडेक्स, टाइप और आईडी जैसी अतिरिक्त जानकारी निकालना चाहते हैं।
docinfo_fields ["_index", "_type", "_id"] आप किसी भी क्षेत्र को समाप्त कर सकते हैं, जिसे आप अपने लॉगस्टैश इनपुट में नहीं चाहते हैं।
enable_metric सच इसका उपयोग उस प्लगइन उदाहरण के लिए मीट्रिक की रिपोर्टिंग और संग्रह को सक्षम या अक्षम करने के लिए किया जाता है।
मेजबान इसका उपयोग सभी इलास्टिक्स खोज इंजन के पते को निर्दिष्ट करने के लिए किया जाता है, जो उस लॉगस्टैश उदाहरण का इनपुट स्रोत होगा। सिंटैक्स होस्ट है: पोर्ट या IP: पोर्ट।
ईद इसका उपयोग उस विशिष्ट इनपुट प्लगइन उदाहरण को एक विशिष्ट पहचान संख्या देने के लिए किया जाता है।
सूची "Logstash- *" इसका उपयोग इंडेक्स नाम या एक पैटर्न को निर्दिष्ट करने के लिए किया जाता है, जो लॉगस्टैश इनपुट के लिए लॉगस्टैश द्वारा मॉनिटर करेगा।
कुंजिका प्रमाणीकरण प्रयोजनों के लिए।
सवाल "{\" सॉर्ट \ ": [\" _ doc \ "]}" निष्पादन के लिए क्वेरी।
एसएसएल असत्य सुरक्षित सॉकेट लेयर को सक्षम या अक्षम करें।
टैग इनपुट घटनाओं में कोई अतिरिक्त जानकारी जोड़ने के लिए।
प्रकार इसका उपयोग इनपुट रूपों को वर्गीकृत करने के लिए किया जाता है ताकि बाद के चरणों में सभी इनपुट घटनाओं को खोजना आसान हो जाए।
उपयोगकर्ता प्रामाणिक उद्देश्यों के लिए।

इवेंट लोग

यह इनपुट प्लगइन विंडोज़ सर्वर के win32 एपीआई से डेटा पढ़ता है। अनुगमन इस प्लगइन की सेटिंग्स हैं -

नाम सेट करना डिफ़ॉल्ट मान विवरण
क्षेत्र जोड़ें {} फ़ाइल प्लगइन के समान ही, इसका उपयोग इनपुट ईवेंट में फ़ील्ड को जोड़ने के लिए किया जाता है
कोडेक "सादे" इसका उपयोग विंडोज़ से इनपुट घटनाओं को डीकोड करने के लिए किया जाता है; Logstash पाइपलाइन में प्रवेश करने से पहले
लॉग फ़ाइल ["एप्लीकेशन", "सुरक्षा", "सिस्टम"] इनपुट लॉग फ़ाइल में आवश्यक ईवेंट
मध्यान्तर 1000 यह मिलीसेकंड में है और नए ईवेंट लॉग की लगातार दो जांचों के बीच के अंतराल को परिभाषित करता है
टैग इनपुट घटनाओं में कोई अतिरिक्त जानकारी जोड़ने के लिए
प्रकार इसका उपयोग इनपुट फॉर्म को दिए गए प्रकार के लिए एक विशिष्ट प्लगइन्स को वर्गीकृत करने के लिए किया जाता है, ताकि बाद के चरणों में सभी इनपुट घटनाओं को खोजना आसान हो जाए

ट्विटर

इस इनपुट प्लगइन का उपयोग इसके स्ट्रीमिंग एपीआई से ट्विटर के फीड को इकट्ठा करने के लिए किया जाता है। निम्न तालिका इस प्लगइन की सेटिंग्स का वर्णन करती है।

नाम सेट करना डिफ़ॉल्ट मान विवरण
क्षेत्र जोड़ें {} फ़ाइल प्लगइन के समान ही, इसका उपयोग इनपुट ईवेंट में फ़ील्ड को जोड़ने के लिए किया जाता है
कोडेक "सादे" इसका उपयोग विंडोज़ से इनपुट घटनाओं को डीकोड करने के लिए किया जाता है; Logstash पाइपलाइन में प्रवेश करने से पहले
उपभोक्ता कुंजी इसमें ट्विटर ऐप की उपभोक्ता कुंजी है। अधिक जानकारी के लिए, पर जाएँhttps://dev.twitter.com/apps/new
consumer_secret इसमें ट्विटर ऐप की उपभोक्ता गुप्त कुंजी शामिल है। अधिक जानकारी के लिए, पर जाएँhttps://dev.twitter.com/apps/new
enable_metric सच इसका उपयोग उस प्लगइन उदाहरण के लिए मीट्रिक की रिपोर्टिंग और संग्रह को सक्षम या अक्षम करने के लिए किया जाता है
इस प्रकार

यह अल्पविराम द्वारा अलग की गई उपयोगकर्ता आईडी को निर्दिष्ट करता है और लॉगस्टैश ट्विटर में इन उपयोगकर्ताओं की स्थिति की जांच करता है।

अधिक जानकारी के लिए, पर जाएँ

https://dev.twitter.com

full_tweet असत्य आप इसे सही में बदल सकते हैं, यदि आप चाहते हैं कि लॉगस्टैश ट्विटर एपीआई से पूरी वस्तु वापसी पढ़ें
ईद इसका उपयोग उस विशिष्ट इनपुट प्लगइन उदाहरण को एक विशिष्ट पहचान संख्या देने के लिए किया जाता है
ignore_retweets असत्य आप इनपुट ट्विटर फ़ीड में रीट्वीट को अनदेखा करने के लिए इसे सच में बदल सकते हैं
कीवर्ड यह कीवर्ड की एक सरणी है, जिसे ट्विटर्स इनपुट फीड में ट्रैक करने की आवश्यकता है
भाषा: हिन्दी यह इनपुट ट्विटर फीड से LogStash द्वारा आवश्यक ट्वीट्स की भाषा को परिभाषित करता है। यह पहचानकर्ता की एक सरणी है, जो ट्विटर में एक विशिष्ट भाषा को परिभाषित करता है
स्थानों निर्दिष्ट स्थान के अनुसार इनपुट फ़ीड से ट्वीट्स को फ़िल्टर करने के लिए। यह एक सरणी है, जिसमें स्थान का देशांतर और अक्षांश होता है
oauth_token यह एक आवश्यक फ़ाइल है, जिसमें उपयोगकर्ता ओउथ टोकन शामिल है। अधिक जानकारी के लिए कृपया निम्न लिंक पर जाएँhttps://dev.twitter.com/apps
oauth_token_secret यह एक आवश्यक फ़ाइल है, जिसमें उपयोगकर्ता ओउथ गुप्त टोकन शामिल है। अधिक जानकारी के लिए कृपया निम्न लिंक पर जाएँhttps://dev.twitter.com/apps
टैग इनपुट घटनाओं में कोई अतिरिक्त जानकारी जोड़ने के लिए
प्रकार इसका उपयोग इनपुट फॉर्म को दिए गए प्रकार के लिए एक विशिष्ट प्लगइन्स को वर्गीकृत करने के लिए किया जाता है, ताकि बाद के चरणों में सभी इनपुट घटनाओं को खोजना आसान हो जाए

टीसीपी

टीसीपी का उपयोग टीसीपी सॉकेट पर घटनाओं को प्राप्त करने के लिए किया जाता है; यह उपयोगकर्ता कनेक्शन या सर्वर से पढ़ सकता है, जो मोड सेटिंग में निर्दिष्ट है। निम्न तालिका इस प्लगइन की सेटिंग्स का वर्णन करती है -

नाम सेट करना डिफ़ॉल्ट मान विवरण
क्षेत्र जोड़ें {} फ़ाइल प्लगइन के समान ही, इसका उपयोग इनपुट ईवेंट में फ़ील्ड को जोड़ने के लिए किया जाता है
कोडेक "सादे" इसका उपयोग विंडोज़ से इनपुट घटनाओं को डीकोड करने के लिए किया जाता है; Logstash पाइपलाइन में प्रवेश करने से पहले
enable_metric सच इसका उपयोग उस प्लगइन उदाहरण के लिए मीट्रिक की रिपोर्टिंग और संग्रह को सक्षम या अक्षम करने के लिए किया जाता है
मेज़बान "0.0.0.0" क्लाइंट का सर्वर OS का पता निर्भर करता है
ईद इसमें ट्विटर ऐप की उपभोक्ता कुंजी है
मोड "सर्वर" इसका उपयोग इनपुट स्रोत सर्वर या क्लाइंट को निर्दिष्ट करने के लिए किया जाता है।
बंदरगाह यह पोर्ट नंबर को परिभाषित करता है
SSL_CERT इसका उपयोग SSL प्रमाणपत्र के पथ को निर्दिष्ट करने के लिए किया जाता है
ssl_enable असत्य SSL सक्षम या अक्षम करें
ssl_key SSL कुंजी फ़ाइल का पथ निर्दिष्ट करने के लिए
टैग इनपुट घटनाओं में कोई अतिरिक्त जानकारी जोड़ने के लिए
प्रकार इसका उपयोग इनपुट फॉर्म को दिए गए प्रकार के लिए एक विशिष्ट प्लगइन्स को वर्गीकृत करने के लिए किया जाता है, ताकि बाद के चरणों में सभी इनपुट घटनाओं को खोजना आसान हो जाए

लॉगस्टैश - आउटपुट प्लगइन्स

लॉगस्टैश विभिन्न आउटपुट स्रोतों और विभिन्न तकनीकों जैसे डेटाबेस, फाइल, ईमेल, स्टैंडर्ड आउटपुट आदि का समर्थन करता है।

आउटपुट प्लग इन का उपयोग करने का सिंटैक्स इस प्रकार है -

output {
   Plugin name {
      Setting 1……
      Setting 2……..
   }
}

आप निम्न कमांड का उपयोग करके आउटपुट प्लगइन डाउनलोड कर सकते हैं -

>logstash-plugin install logstash-output-<plugin name>

Logstash-plugin utilityLogstash संस्थापन निर्देशिका के बिन फ़ोल्डर में मौजूद है। निम्न तालिका लॉगस्टैश द्वारा प्रस्तुत आउटपुट प्लगइन्स का वर्णन करती है।

अनु क्रमांक। प्लगइन का नाम और विवरण
1

CloudWatch

इस प्लगइन का उपयोग अमेज़ॅन वेब सेवाओं के क्लाउडवॉच में एकत्रित मीट्रिक डेटा भेजने के लिए किया जाता है।

2

csv

इसका उपयोग आउटपुट घटनाओं को अल्पविराम से अलग तरीके से लिखने के लिए किया जाता है।

3

Elasticsearch

इसका उपयोग एलास्टिसर्च इंडेक्स में आउटपुट लॉग को स्टोर करने के लिए किया जाता है।

4

email

इसका उपयोग अधिसूचना ईमेल भेजने के लिए किया जाता है, जब आउटपुट उत्पन्न होता है। उपयोगकर्ता ईमेल में आउटपुट के बारे में जानकारी जोड़ सकता है।

5

exec

इसका उपयोग कमांड चलाने के लिए किया जाता है, जो आउटपुट इवेंट से मेल खाता है।

6

ganglia

यह मेट्रिक्स को गंगिला के गोंड तक पहुंचाता है।

7

gelf

इसका उपयोग GELF प्रारूप में ग्रेलाग 2 के लिए उत्पादन करने के लिए किया जाता है।

8

google_bigquery

यह घटनाओं को Google BigQuery के लिए आउटपुट करता है।

9

google_cloud_storage

यह Google क्लाउड स्टोरेज में आउटपुट इवेंट को स्टोर करता है।

10

graphite

इसका उपयोग आउटपुट इवेंट्स को ग्रेफाइट में संग्रहीत करने के लिए किया जाता है।

1 1

graphtastic

इसका उपयोग विंडोज पर आउटपुट मीट्रिक लिखने के लिए किया जाता है।

12

hipchat

इसका उपयोग आउटपुट लॉग ईवेंट्स को HipChat में संग्रहीत करने के लिए किया जाता है।

13

http

इसका उपयोग आउटपुट लॉग इवेंट्स को http या https एंडपॉइंट्स पर भेजने के लिए किया जाता है।

14

influxdb

इसका उपयोग InfluxDB में आउटपुट इवेंट को संग्रहीत करने के लिए किया जाता है।

15

irc

इसका उपयोग आउटपुट इवेंट्स को irc पर लिखने के लिए किया जाता है।

16

mongodb

यह MongoDB में आउटपुट डेटा संग्रहीत करता है।

17

nagios

इसका उपयोग नागों को निष्क्रिय चेक परिणामों के साथ सूचित करने के लिए किया जाता है।

18

nagios_nsca

यह NSCA प्रोटोकॉल पर निष्क्रिय जांच परिणामों के साथ नागियोस को सूचित करने के लिए उपयोग किया जाता है।

19

opentsdb

यह लॉगस्टैश आउटपुट इवेंट्स को OpenTSDB में संग्रहीत करता है।

20

pipe

यह आउटपुट ईवेंट को किसी अन्य प्रोग्राम के मानक इनपुट में स्ट्रीम करता है।

21

rackspace

इसका उपयोग Rackspace Cloud की क्यू सर्विस को आउटपुट लॉग इवेंट भेजने के लिए किया जाता है।

22

redis

यह आउटपुट लॉगिंग डेटा को Redis कतार में भेजने के लिए rpush कमांड का उपयोग करता है।

23

riak

इसका उपयोग आउटपुट इवेंट्स को Riak वितरित कुंजी / मान युग्म में संग्रहीत करने के लिए किया जाता है।

24

s3

यह अमेज़ॅन सिंपल स्टोरेज सर्विस को आउटपुट लॉगिंग डेटा संग्रहीत करता है।

25

sns

इसका उपयोग अमेजन की सिंपल नोटिफिकेशन सर्विस को आउटपुट इवेंट भेजने के लिए किया जाता है।

26

solr_http

यह सोल में आउटपुट लॉगिंग डेटा को अनुक्रमित और संग्रहीत करता है।

27

sps

इसका उपयोग एडब्ल्यूएस की सरल कतार सेवा में घटनाओं को शिप करने के लिए किया जाता है।

28

statsd

इसका उपयोग मेट्रिक्स डेटा को स्टैटसड नेटवर्क डेमन में शिप करने के लिए किया जाता है।

29

stdout

इसका उपयोग कमांड प्रॉम्प्ट जैसे सीएलआई के मानक आउटपुट पर आउटपुट घटनाओं को दिखाने के लिए किया जाता है।

30

syslog

इसका उपयोग आउटपुट इवेंट को syslog सर्वर पर शिप करने के लिए किया जाता है।

31

tcp

इसका उपयोग उत्पादन घटनाओं को टीसीपी सॉकेट में भेजने के लिए किया जाता है।

32

udp

इसका उपयोग UDP पर आउटपुट ईवेंट को पुश करने के लिए किया जाता है।

33

websocket

इसका उपयोग WebSocket प्रोटोकॉल पर आउटपुट ईवेंट को पुश करने के लिए किया जाता है।

34

xmpp

इसका उपयोग XMPP प्रोटोकॉल पर आउटपुट इवेंट को पुश करने के लिए किया जाता है।

सभी प्लगइन्स की अपनी विशिष्ट सेटिंग्स हैं, जो एक प्लगइन में पोर्ट, पथ, आदि जैसे महत्वपूर्ण क्षेत्रों को निर्दिष्ट करने में मदद करता है। हम कुछ आउटपुट प्लगइन्स की सेटिंग्स पर चर्चा करेंगे।

Elasticsearch

एलिस्टिक्स खोज आउटपुट प्लगइन एलिस्टिक्स खोज इंजन के विशिष्ट समूहों में आउटपुट को स्टोर करने में सक्षम बनाता है। यह उपयोगकर्ताओं के प्रसिद्ध विकल्पों में से एक है क्योंकि यह ELK Stack के पैकेज में आता है और इसलिए, Devops को एंड-टू-एंड समाधान प्रदान करता है। निम्न तालिका इस आउटपुट प्लगइन की सेटिंग्स का वर्णन करती है।

नाम सेट करना डिफ़ॉल्ट मान विवरण
कार्य सूची इसका उपयोग एलिस्टिक्स खोज इंजन में की गई क्रिया को परिभाषित करने के लिए किया जाता है। इस सेटिंग के अन्य मान हटाए जाते हैं, बनाते हैं, अपडेट करते हैं, आदि।
cacert इसमें सर्वर के प्रमाणपत्र सत्यापन के लिए .cer या .pem के साथ फ़ाइल का पथ है।
कोडेक "सादे" इसे गंतव्य स्रोत पर भेजने से पहले आउटपुट लॉगिंग डेटा को एनकोड करने के लिए उपयोग किया जाता है।
doc_as_upset असत्य यह सेटिंग अद्यतन कार्रवाई के मामले में उपयोग की जाती है। यह Elasticsearch इंजन में एक दस्तावेज़ बनाता है, यदि दस्तावेज़ आईडी आउटपुट प्लगइन में निर्दिष्ट नहीं है।
दस्तावेज़ का प्रकार इसका उपयोग उसी प्रकार की घटनाओं को उसी दस्तावेज़ प्रकार में संग्रहीत करने के लिए किया जाता है। यदि यह निर्दिष्ट नहीं है, तो ईवेंट प्रकार उसी के लिए उपयोग किया जाता है।
flush_size 500 यह Elasticsearch में बल्क अपलोड के प्रदर्शन में सुधार के लिए उपयोग किया जाता है
मेजबान [ "127.0.0.1"] यह आउटपुट लॉगिंग डेटा के लिए गंतव्य पते का एक सरणी है
idle_flush_time 1 यह दो फ्लश के बीच समय सीमा (दूसरा) को परिभाषित करता है, इस सेटिंग में निर्दिष्ट समय सीमा के बाद लॉगस्टैश बलों को फ्लश करता है
सूची "Logstash -% {+ YYYY.MM.dd}" इसका उपयोग एलिस्टिक्स खोज इंजन के सूचकांक को निर्दिष्ट करने के लिए किया जाता है
manage_temlpate सच इसका उपयोग एलिस्टिक्स खोज में डिफ़ॉल्ट टेम्पलेट को लागू करने के लिए किया जाता है
माता-पिता शून्य इसका उपयोग एलिस्टिक्स खोज में मूल दस्तावेज की आईडी को निर्दिष्ट करने के लिए किया जाता है
कुंजिका इसका उपयोग एलिस्टिक्स खोज में सुरक्षित क्लस्टर में अनुरोध को प्रमाणित करने के लिए किया जाता है
पथ इसका उपयोग एलिस्टिक्स खोज के HTTP पथ को निर्दिष्ट करने के लिए किया जाता है।
पाइपलाइन शून्य इसका उपयोग सबसे कम पाइपलाइन को सेट करने के लिए किया जाता है, उपयोगकर्ता किसी घटना के लिए निष्पादित करना चाहता है
प्रतिनिधि इसका उपयोग HTTP प्रॉक्सी को निर्दिष्ट करने के लिए किया जाता है
retry_initial_interval 2 इसका उपयोग बल्क रिट्रीज़ के बीच प्रारंभिक समय अंतराल (सेकंड) को सेट करने के लिए किया जाता है। यह प्रत्येक रिट्री के बाद दोगुना हो जाता है जब तक कि यह रिट्री_मैक्स_इंटरवल तक नहीं पहुंचता
retry_max_interval 64 इसका उपयोग retry_initial_interval के लिए अधिकतम समय अंतराल सेट करने के लिए किया जाता है
retry_on_conflict 1 यह दस्तावेज़ को अपडेट करने के लिए एलीस्टेकर्च द्वारा रिट्रीट की संख्या है
एसएसएल SSL / TLS को सक्षम करने या अक्षम करने के लिए Elasticsearch सुरक्षित है
टेम्पलेट इसमें इलास्टिक्स खोज में अनुकूलित टेम्पलेट का पथ शामिल है
टेम्पलेट नाम "Logstash" इसका उपयोग एलिस्टिक्स खोज में टेम्पलेट को नाम देने के लिए किया जाता है
समय समाप्त 60 यह एलियटसर्च के लिए नेटवर्क अनुरोधों का समय समाप्त हो गया है
Upsert "" यह दस्तावेज़ को अद्यतन करता है या यदि document_id मौजूद नहीं है, तो यह Elasticsearch में एक नया दस्तावेज़ बनाता है
उपयोगकर्ता इसमें उपयोगकर्ता को सुरक्षित इलास्टिक्सखोज क्लस्टर में लॉगस्टैश अनुरोध को प्रमाणित करने के लिए है

ईमेल

लॉगस्टैश आउटपुट उत्पन्न करते समय, उपयोगकर्ता को सूचित करने के लिए ईमेल आउटपुट प्लगइन का उपयोग किया जाता है। निम्न तालिका इस प्लगइन के लिए सेटिंग्स का वर्णन करती है।

नाम सेट करना डिफ़ॉल्ट मान विवरण
पता "स्थानीय होस्ट" यह मेल सर्वर का पता है
संलग्नक [] इसमें संलग्न फाइलों के नाम और स्थान शामिल हैं
तन "" इसमें ईमेल का मुख्य भाग होता है और इसे सादा पाठ होना चाहिए
सीसी इसमें ईमेल के सीसी के लिए अल्पविराम से अलग तरीके से ईमेल पते हैं
कोडेक "सादे" इसे गंतव्य स्रोत पर भेजने से पहले आउटपुट लॉगिंग डेटा को एनकोड करने के लिए उपयोग किया जाता है।
सामग्री प्रकार "टेक्स्ट / html; चारसेट = UTF-8" इसका उपयोग ईमेल के सामग्री-प्रकार के लिए किया जाता है
डिबग असत्य यह डिबग मोड में मेल रिले को निष्पादित करने के लिए उपयोग किया जाता है
डोमेन "स्थानीय होस्ट" इसका उपयोग ईमेल संदेश भेजने के लिए डोमेन सेट करने के लिए किया जाता है
से "[email protected]" इसका उपयोग प्रेषक के ईमेल पते को निर्दिष्ट करने के लिए किया जाता है
htmlbody "" इसका उपयोग ईमेल के शरीर को HTML प्रारूप में निर्दिष्ट करने के लिए किया जाता है
कुंजिका इसका उपयोग मेल सर्वर के साथ प्रमाणित करने के लिए किया जाता है
बंदरगाह 25 यह मेल सर्वर के साथ संवाद करने के लिए पोर्ट को परिभाषित करने के लिए उपयोग किया जाता है
को उत्तर इसका उपयोग ईमेल आईडी को ईमेल के उत्तर-क्षेत्र के लिए निर्दिष्ट करने के लिए किया जाता है
विषय "" इसमें ईमेल की विषय पंक्ति शामिल है
use_tls असत्य मेल सर्वर के साथ संचार के लिए TSL को सक्षम या अक्षम करें
उपयोगकर्ता नाम सर्वर के साथ प्रमाणीकरण के लिए उपयोगकर्ता नाम है
के जरिए "Smtp" यह Logstash द्वारा ईमेल भेजने के तरीकों को परिभाषित करता है

एचटीटीपी

इस सेटिंग का उपयोग http पर आउटपुट ईवेंट को गंतव्य पर भेजने के लिए किया जाता है। यह प्लगइन निम्नलिखित सेटिंग्स है -

नाम सेट करना डिफ़ॉल्ट मान विवरण
automatic_retries 1 इसका उपयोग logstash द्वारा http रिक्वेस्ट रिट्रीस की संख्या सेट करने के लिए किया जाता है
cacert इसमें सर्वर के प्रमाणपत्र सत्यापन के लिए फ़ाइल का पथ शामिल है
कोडेक "सादे" इसे गंतव्य स्रोत पर भेजने से पहले आउटपुट लॉगिंग डेटा को एनकोड करने के लिए उपयोग किया जाता है।
सामग्री प्रकार मैं गंतव्य सर्वर पर http अनुरोध की सामग्री प्रकार निर्दिष्ट करता हूं
कुकीज़ सच इसका उपयोग कुकीज़ को सक्षम या अक्षम करने के लिए किया जाता है
प्रारूप "Json" इसका उपयोग http अनुरोध बॉडी के प्रारूप को सेट करने के लिए किया जाता है
हेडर इसमें http हैडर की जानकारी है
http_method "" इसका उपयोग लॉगस्टैश द्वारा अनुरोध में उपयोग की जाने वाली http विधि को निर्दिष्ट करने के लिए किया जाता है और मान "पुट", "पोस्ट", "पैच", "डिलीट", "गेट", "हेड" हो सकते हैं।
ब्रेक का अनुरोध 60 इसका उपयोग मेल सर्वर के साथ प्रमाणित करने के लिए किया जाता है
यूआरएल Http या https समापन बिंदु निर्दिष्ट करने के लिए इस प्लगइन के लिए एक आवश्यक सेटिंग है

stdout

कमांड लाइन इंटरफ़ेस के मानक आउटपुट पर आउटपुट घटनाओं को लिखने के लिए स्टडआउट आउटपुट प्लगइन का उपयोग किया जाता है। यह UNIX में विंडोज़ और टर्मिनल में कमांड प्रॉम्प्ट है। इस प्लगइन में निम्नलिखित सेटिंग्स हैं -

नाम सेट करना डिफ़ॉल्ट मान विवरण
कोडेक "सादे" इसे गंतव्य स्रोत पर भेजने से पहले आउटपुट लॉगिंग डेटा को एनकोड करने के लिए उपयोग किया जाता है।
कर्मी 1 इसका उपयोग आउटपुट के लिए श्रमिकों की संख्या निर्दिष्ट करने के लिए किया जाता है

statsd

यह एक नेटवर्क डेमॉन है जिसका उपयोग यूडीपी पर मैट्रिसेस डेटा को गंतव्य बैकेंड सेवाओं को भेजने के लिए किया जाता है। यह UNIX में विंडोज़ और टर्मिनल में कमांड प्रॉम्प्ट है। यह प्लगइन निम्नलिखित सेटिंग्स है -

नाम सेट करना डिफ़ॉल्ट मान विवरण
कोडेक "सादे" इसे गंतव्य स्रोत पर भेजने से पहले आउटपुट लॉगिंग डेटा को एनकोड करने के लिए उपयोग किया जाता है।
गिनती {} इसका उपयोग मैट्रिक्स में उपयोग की जाने वाली गिनती को परिभाषित करने के लिए किया जाता है
घटती [] इसका उपयोग डिक्रीमेंट मीट्रिक नामों को निर्दिष्ट करने के लिए किया जाता है
मेज़बान "स्थानीय होस्ट" इसमें डेटाड सर्वर का पता होता है
वेतन वृद्धि [] इसका उपयोग वेतन वृद्धि के मीट्रिक नामों को निर्दिष्ट करने के लिए किया जाता है
बंदरगाह 8125 इसमें डेटास् सर्वर का पोर्ट होता है
नमूना दर 1 इसका उपयोग मीट्रिक की नमूना दर को निर्दिष्ट करने के लिए किया जाता है
प्रेषक "%{मेज़बान}" यह प्रेषक का नाम निर्दिष्ट करता है
सेट {} इसका उपयोग सेट मीट्रिक को निर्दिष्ट करने के लिए किया जाता है
समय {} इसका उपयोग टाइमिंग मीट्रिक निर्दिष्ट करने के लिए किया जाता है
कर्मी 1 इसका उपयोग आउटपुट के लिए श्रमिकों की संख्या निर्दिष्ट करने के लिए किया जाता है

फ़िल्टर प्लगइन्स

लॉगस्टैश विभिन्न फ़िल्टर प्लगइन्स को पार्स करने और इनपुट लॉग को अधिक संरचित और क्वेरी प्रारूप में बदलने का समर्थन करता है।

फ़िल्टर प्लगइन का उपयोग करने का सिंटैक्स इस प्रकार है -

filter {
   Plugin name {
      Setting 1……
      Setting 2……..
   }
}

आप निम्न कमांड का उपयोग करके फ़िल्टर प्लगइन डाउनलोड कर सकते हैं -

>logstash-plugin install logstash-filter-<plugin name>

Logstash- प्लगइन उपयोगिता Logstash संस्थापन निर्देशिका के बिन फ़ोल्डर में मौजूद है। निम्न तालिका लॉगस्टैश द्वारा प्रस्तुत आउटपुट प्लगइन्स का वर्णन करती है।

अनु क्रमांक। प्लगइन का नाम और विवरण
1

aggregate

यह प्लगइन डेटा को एक ही प्रकार के विभिन्न ईवेंट से इकट्ठा या एकत्र करता है और उन्हें अंतिम ईवेंट में संसाधित करता है

2

alter

यह उपयोगकर्ता को लॉग ईवेंट के क्षेत्र को बदलने की अनुमति देता है, जिसे म्यूट फ़िल्टर नहीं संभालता है

3

anonymize

इसका उपयोग खेतों के मूल्यों को एक सुसंगत हैश के साथ बदलने के लिए किया जाता है

4

cipher

गंतव्य स्रोत में उन्हें संग्रहीत करने से पहले आउटपुट घटनाओं को एन्क्रिप्ट करने के लिए इसका उपयोग किया जाता है

5

clone

इसका उपयोग Logstash में आउटपुट इवेंट के डुप्लिकेट बनाने के लिए किया जाता है

6

collate

यह घटनाओं को उनके समय या गिनती के अनुसार अलग-अलग लॉग से मर्ज करता है

7

csv

यह प्लगइन विभाजक के अनुसार इनपुट लॉग से डेटा पार्स करता है

8

date

यह ईवेंट में फ़ील्ड्स से दिनांक पार्स करता है और सेट करता है कि ईवेंट के लिए टाइमस्टैम्प के रूप में

9

dissect

यह प्लगइन उपयोगकर्ता को असंरचित डेटा से फ़ील्ड निकालने में मदद करता है और उन्हें सही ढंग से पार्स करने के लिए ग्रॉक फ़िल्टर के लिए आसान बनाता है

10

drop

इसका उपयोग एक ही प्रकार या किसी अन्य समानता की सभी घटनाओं को छोड़ने के लिए किया जाता है

1 1

elapsed

इसका उपयोग प्रारंभ और अंत की घटनाओं के बीच के समय की गणना करने के लिए किया जाता है

12

Elasticsearch

इसका उपयोग एलिस्टिक्सखोज में मौजूद पिछली लॉग ईवेंट के क्षेत्रों को कॉपी करने के लिए किया जाता है, जो लॉगस्टैश में वर्तमान में होता है

13

extractnumbers

इसका उपयोग लॉग इवेंट में स्ट्रिंग्स से संख्या निकालने के लिए किया जाता है

14

geoip

यह ईवेंट में एक फ़ील्ड जोड़ता है, जिसमें लॉग इवेंट में मौजूद आईपी के स्थान का अक्षांश और देशांतर होता है

15

grok

यह खेतों को प्राप्त करने के लिए घटना को पार्स करने के लिए आमतौर पर इस्तेमाल किया जाने वाला फ़िल्टर प्लगइन है

16

i18n

यह लॉग ईवेंट में दर्ज किए गए विशेष वर्णों को हटा देता है

17

json

इसका उपयोग घटना में या किसी विशिष्ट क्षेत्र में एक संरचित जोंस ऑब्जेक्ट बनाने के लिए किया जाता है

18

kv

यह प्लगइन लॉगिंग डेटा में कुंजी मूल्य जोड़े को पार करने में उपयोगी है

19

metrics

इसका उपयोग प्रत्येक ईवेंट में समय अवधि गिनने जैसे मेट्रिक्स को एकत्रित करने के लिए किया जाता है

20

multiline

यह आमतौर पर उपयोग किए जाने वाले फ़िल्टर प्लगइन में से एक है, जो किसी एकल इवेंट में मल्टीलाइन लॉगिंग डेटा को परिवर्तित करने के मामले में उपयोगकर्ता की मदद करता है।

21

mutate

इस प्लगइन का उपयोग आपके ईवेंट में फ़ील्ड का नाम बदलने, हटाने, बदलने और संशोधित करने के लिए किया जाता है

22

range

यह एक अपेक्षित सीमा और एक सीमा के भीतर स्ट्रिंग की लंबाई के विरुद्ध घटनाओं में संख्यात्मक मानों की जाँच करता था।

23

ruby

इसका उपयोग मनमाने रूबी कोड को चलाने के लिए किया जाता है

24

sleep

यह लॉगस्टैश समय की एक निर्दिष्ट राशि के लिए सोता है

25

split

इसका उपयोग किसी घटना के क्षेत्र को विभाजित करने के लिए और उस घटना के क्लोन में सभी विभाजित मूल्यों को रखने के लिए किया जाता है

26

xml

इसका उपयोग लॉग में मौजूद XML डेटा को पार करके ईवेंट बनाने के लिए किया जाता है

कोडेक प्लगइन्स

कोडेक प्लगइन्स इनपुट या आउटपुट प्लगइन्स का एक हिस्सा हो सकता है। इन प्लगइन्स का उपयोग लॉगिंग डेटा प्रस्तुति को बदलने या प्रारूपित करने के लिए किया जाता है। Logstash कई कोडेक प्लगइन्स प्रदान करता है और वे निम्नानुसार हैं -

अनु क्रमांक। प्लगइन का नाम और विवरण
1

avro

यह प्लगइन एविएट डेटम्स के लिए लॉस्टश ईवेंट्स को क्रमबद्ध करता है और एव्रो रिकॉर्ड्स को लॉस्टश ईवेंट को डिकोड करता है

2

cloudfront

यह प्लगइन AWS क्लाउडफ्रंट से एन्कोडेड डेटा को पढ़ता है

3

cloudtrail

इस प्लगइन का उपयोग AWS क्लाउडट्रिल के डेटा को पढ़ने के लिए किया जाता है

4

collectd

यह बाइनरी प्रोटोकॉल के डेटा को पढ़ता है जिसे यूडीपी पर एकत्र किया जाता है

5

compress_spooler

इसका उपयोग लॉगस्टैश में लॉग इवेंट्स को स्पूल किए गए बैचों को संपीड़ित करने के लिए किया जाता है

6

dots

यह हर इवेंट के स्टडआउट के लिए एक बिंदु सेट करके प्रदर्शन ट्रैकिंग का उपयोग किया जाता है

7

es_bulk

इसका उपयोग Elasticsearch से Elstearch मेटाडेटा सहित Logstash ईवेंट में बल्क डेटा को कनवर्ट करने के लिए किया जाता है

8

graphite

यह कोडेक ग्रेफाइट से डेटा को घटनाओं में पढ़ता है और घटना को ग्रेफाइट के स्वरूपित रिकॉर्ड में बदल देता है

9

gzip_lines

इस प्लगइन का उपयोग gzip एन्कोडेड डेटा को संभालने के लिए किया जाता है

10

json

इसका उपयोग Json सरणी में एक एकल तत्व को एक Logstash इवेंट में परिवर्तित करने के लिए किया जाता है

1 1

json_lines

इसका उपयोग Newline delimiter के साथ Json डेटा को संभालने के लिए किया जाता है

12

line

यह प्लगइन एक ही लाइव में ईवेंट को पढ़ और लिख देगा, इसका मतलब है कि न्यूलाइन सीमांकक के बाद एक नया ईवेंट होगा

13

multiline

इसका उपयोग मल्टीलाइन लॉगिंग डेटा को एक घटना में बदलने के लिए किया जाता है

14

netflow

इस plugin का उपयोग nertflow v5 / v9 data को logstash घटनाओं में बदलने के लिए किया जाता है

15

nmap

यह एक XML प्रारूप में nmap परिणाम डेटा को पार्स करता है

16

plain

यह बिना सीमांक के पाठ को पढ़ता है

17

rubydebug

यह प्लगइन आउटपुट लॉगस्टैश घटनाओं को रूबी भयानक प्रिंट लाइब्रेरी का उपयोग करके लिखेगा

अपनी खुद की प्लगइन बनाएँ

आप लॉगस्टैश में अपने खुद के प्लगइन्स भी बना सकते हैं, जो आपकी आवश्यकताओं को पूरा करता है। लॉगस्टैश-प्लगइन उपयोगिता का उपयोग कस्टम प्लगइन्स बनाने के लिए किया जाता है। यहां, हम एक फिल्टर प्लगइन बनाएंगे, जो घटनाओं में एक कस्टम संदेश जोड़ देगा।

आधार संरचना उत्पन्न करें

एक उपयोगकर्ता लॉगस्टैश-प्लगइन उपयोगिता के जेनरेट विकल्प का उपयोग करके आवश्यक फाइलें उत्पन्न कर सकता है या यह GitHub पर भी उपलब्ध है।

>logstash-plugin generate --type filter --name myfilter --path c:/tpwork/logstash/lib

यहाँ, typeविकल्प का उपयोग प्लगइन निर्दिष्ट करने के लिए किया जाता है या तो इनपुट, आउटपुट या फ़िल्टर। इस उदाहरण में, हम नाम से एक फ़िल्टर प्लगइन बना रहे हैंmyfilter। पथ विकल्प का उपयोग पथ को निर्दिष्ट करने के लिए किया जाता है, जहां आप चाहते हैं कि आपकी प्लगइन निर्देशिका बनाई जाए। उपर्युक्त कमांड को निष्पादित करने के बाद, आप देखेंगे कि एक निर्देशिका संरचना बनाई गई है।

प्लगइन विकसित करें

आप प्लगइन की कोड फ़ाइल पा सकते हैं \lib\logstash\filtersप्लगइन निर्देशिका में फ़ोल्डर। फ़ाइल एक्सटेंशन होगा.rb

हमारे मामले में, कोड फ़ाइल निम्नलिखित पथ के अंदर स्थित थी -

C:\tpwork\logstash\lib\logstash-filter-myfilter\lib\logstash\filters\myfilter.rb

हम संदेश को डिफ़ॉल्ट - "⇒" हाय, आप इसे tutorialspoint.com पर सीख रहे हैं, और फ़ाइल को सेव करते हैं।

प्लगइन स्थापित करें

इस प्लगइन को स्थापित करने के लिए, लॉगस्टैश के जेमफाइल को संशोधित करने की आवश्यकता है। आप इस फ़ाइल को Logstash की स्थापना निर्देशिका में पा सकते हैं। हमारे मामले में, यह अंदर होगाC:\tpwork\logstash। किसी भी टेक्स्ट एडिटर का उपयोग करके इस फाइल को एडिट करें और इसमें निम्न टेक्स्ट जोड़ें।

gem "logstash-filter-myfilter",:path => "C:/tpwork/logstash/lib/logstash-filter-myfilter"

उपरोक्त कमांड में, हम प्लगइन के नाम के साथ निर्दिष्ट करते हैं जहां हम इसे स्थापना के लिए पा सकते हैं। फिर, इस प्लगइन को स्थापित करने के लिए लॉगस्टैश-प्लगइन उपयोगिता चलाएं।

>logstash-plugin install --no-verify

परिक्षण

यहां, हम जोड़ रहे हैं myfilter पिछले उदाहरणों में से एक में -

logstash.conf

इस Logstash config फाइल में ग्रूप फिल्टर प्लगइन के बाद फिल्टर सेक्शन में myfilter होता है।

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input1.log"
   } 
}
filter {
   grok {
      match => [
         "message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid} -
            %{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?" ]
   }
   myfilter{}
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output1.log"
      codec => rubydebug
   }
}

Run logstash

हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।

>logstash –f logsatsh.conf

input.log

निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।

INFO - 48566 - TRANSACTION_START - start

output.log

निम्न कोड ब्लॉक आउटपुट लॉग डेटा दिखाता है।

{
   "path" => "C:/tpwork/logstash/bin/log/input.log",
   "@timestamp" => 2017-01-07T06:25:25.484Z,
   "loglevel" => "INFO",
   "logger" => "TRANSACTION_END",
   "@version" => "1",
   "host" => "Dell-PC",
   "label" => "end",
   "message" => "Hi, You are learning this on tutorialspoint.com",
   "taskid" => "48566",
   "tags" => []
}

इसे Logstash पर प्रकाशित करें

एक डेवलपर अपने कस्टम प्लगइन को लॉगस्टैश में गिथब पर अपलोड करके और एलिटोसर्च कंपनी द्वारा परिभाषित मानकीकृत चरणों का पालन करके भी प्रकाशित कर सकता है।

कृपया प्रकाशन के बारे में अधिक जानकारी के लिए निम्न URL देखें -

https://www.elastic.co/guide/en/logstash/current/contributing-to-logstash.html

लॉगस्टैश अपने प्रदर्शन की निगरानी के लिए एपीआई प्रदान करता है। ये मॉनिटरिंग एपीआई लॉगस्टैश के बारे में रनटाइम मैट्रिक्स निकालते हैं।

नोड जानकारी एपीआई

इस एपीआई का उपयोग लॉगस्टैश के नोड्स के बारे में जानकारी प्राप्त करने के लिए किया जाता है। यह JSON फॉर्मेट में OS, Logstash पाइपलाइन और JVM की जानकारी देता है।

आप a भेजकर जानकारी निकाल सकते हैं get निम्नलिखित URL का उपयोग करके लॉगस्टैश के लिए अनुरोध करें -

GET http://localhost:9600/_node?pretty

प्रतिक्रिया

इसके बाद नोड इंफो एपीआई की प्रतिक्रिया होगी।

{
   "host" : "Dell-PC",
   "version" : "5.0.1",
   "http_address" : "127.0.0.1:9600",
   
   "pipeline" : {
      "workers" : 4,
      "batch_size" : 125,
      "batch_delay" : 5,
      "config_reload_automatic" : false,
      "config_reload_interval" : 3
   },
   "os" : {
      "name" : "Windows 7",
      "arch" : "x86",
      "version" : "6.1",
      "available_processors" : 4
   },
   "jvm" : {
      "pid" : 312,
      "version" : "1.8.0_111",
      "vm_name" : "Java HotSpot(TM) Client VM",
      "vm_version" : "1.8.0_111",
      "vm_vendor" : "Oracle Corporation",
      "start_time_in_millis" : 1483770315412,
      
      "mem" : {
         "heap_init_in_bytes" : 16777216,
         "heap_max_in_bytes" : 1046937600,
         "non_heap_init_in_bytes" : 163840,
         "non_heap_max_in_bytes" : 0
      },
      "gc_collectors" : [ "ParNew", "ConcurrentMarkSweep" ]
   }
}

You can also get the specific information of Pipeline, OS and JVM, by just adding their names in the URL.

GET http://localhost:9600/_node/os?pretty
GET http://localhost:9600/_node/pipeline?pretty
GET http://localhost:9600/_node/jvm?pretty

Plugins Info API

This API is used to get the information about the installed plugins in the Logstash. You can retrieve this information by sending a get request to the URL mentioned below −

GET http://localhost:9600/_node/plugins?pretty

Response

Following would be the response of the Plugins Info API.

{
   "host" : "Dell-PC",
   "version" : "5.0.1",
   "http_address" : "127.0.0.1:9600",
   "total" : 95,
   "plugins" : [ {
      "name" : "logstash-codec-collectd",
      "version" : "3.0.2"
   },
   {
      "name" : "logstash-codec-dots",
      "version" : "3.0.2"
   },
   {
      "name" : "logstash-codec-edn",
      "version" : "3.0.2"
   },
   {
      "name" : "logstash-codec-edn_lines",
      "version" : "3.0.2"
   },
   ............
}

Node Stats API

This API is used to extract the statistics of the Logstash (Memory, Process, JVM, Pipeline) in JSON objects. You can retrieve this information by sending a get request to the URLS mentioned below −

GET http://localhost:9600/_node/stats/?pretty
GET http://localhost:9600/_node/stats/process?pretty
GET http://localhost:9600/_node/stats/jvm?pretty
GET http://localhost:9600/_node/stats/pipeline?pretty

Hot Threads API

This API retrieves the information about the hot threads in Logstash. Hot threads are the java threads, which has high CPU usage and run longer than then normal execution time. You can retrieve this information by sending a get request to the URL mentioned below −

GET http://localhost:9600/_node/hot_threads?pretty

A user can use the following URL to get the response in a form that is more readable.

GET http://localhost:9600/_node/hot_threads?human = true

In this chapter, we will discuss the security and monitoring aspects of Logstash.

Monitoring

Logstash is a very good tool to monitor the servers and services in production environments. Applications in production environment produces different kinds of log data like access Logs, Error Logs, etc. Logstash can count or analyze the number of errors, accesses or other events using filter plugins. This analysis and counting can be used for monitoring different servers and their services.

Logstash offers plugins like HTTP Poller to monitor the website status monitoring. Here, we are monitoring a website named mysite hosted on a local Apache Tomcat Server.

logstash.conf

In this config file, the http_poller plugin is used to hit the site specified in the plugin after a time interval specified in interval setting. Finally, it writes the status of the site to a standard output.

input {
   http_poller {
      urls => {
         site => "http://localhost:8080/mysite"
      }
      request_timeout => 20
      interval => 30
      metadata_target => "http_poller_metadata"
   }
}
output {
   if [http_poller_metadata][code] == 200 {
      stdout {
         codec => line{format => "%{http_poller_metadata[response_message]}"}
      }
   }
   if [http_poller_metadata][code] != 200 {
      stdout {
         codec => line{format => "down"}
      }
   }
}

Run logstash

We can run Logstash with the following command.

>logstash –f logstash.conf

stdout

If the site is up, then the output will be −

Ok

If we stop the site by using the Manager App of Tomcat, the output will change to −

down

Security

Logstash provides plenty of features for secure communication with external systems and supports authentication mechanism. All Logstash plugins support authentication and encryption over HTTP connections.

Security with HTTP protocol

There are settings like user and password for authentication purposes in various plugins offered by Logstash like in the Elasticsearch plugin.

elasticsearch {
   user => <username>
   password => <password>
}

The other authentication is PKI (public key infrastructure) for Elasticsearch. The developer needs to define two settings in the Elasticsearch output plugin to enable the PKI authentication.

elasticsearch {
   keystore => <string_value>
   keystore_password => <password>
}

In the HTTPS protocol, a developer can use the authority’s certificate for SSL/TLS.

elasticsearch {
   ssl => true
   cacert => <path to .pem file>
}

Security with Transport Protocol

To use the transport protocol with Elasticsearch, users need to set protocol setting to transport. This avoids un-marshalling of JSON objects and leads to more efficiency.

The basic authentication is same as performed in http protocol in Elasticsearch output protocol.

elasticsearch {
   protocol => “transport”
   user => <username>
   password => <password>
}

The PKI authentication also needs the SSL sets to be true with other settings in the Elasticsearch output protocol −

elasticsearch {
   protocol => “transport”
   ssl => true
   keystore => <string_value>
   keystore_password => <password>
}

Finally, the SSL security requires a little with more settings than other security methods in communication.

elasticsearch {
   ssl => true
   ssl => true
   keystore => <string_value>
   keystore_password => <password>
   truststore => 
      
        truststore_password => <password> } 
      

Other Security Benefits from Logstash

Logstash can help input system sources to prevent against attacks like denial of service attacks. The monitoring of logs and analyzing the different events in those logs can help system administrators to check the variation in the incoming connections and errors. These analyses can help to see if the attack is happening or going to happen on the servers.

Other products of the Elasticsearch Company such as x-pack and filebeat provides some functionality to communicate securely with Logstash.