Logstash - त्वरित गाइड
लॉगस्टैश लॉग्स या ईवेंट्स को इकट्ठा करने, संसाधित करने और उत्पन्न करने के लिए फ़िल्टर / पाइप पैटर्न पर आधारित एक उपकरण है। यह विभिन्न स्रोतों से लॉग और घटनाओं के वास्तविक समय विश्लेषण को केंद्रीकृत करने और बनाने में मदद करता है।
Logstash JRuby प्रोग्रामिंग भाषा पर लिखा गया है जो JVM पर चलता है, इसलिए आप Logstash को विभिन्न प्लेटफॉर्म पर चला सकते हैं। यह लगभग हर प्रकार के स्रोत से विभिन्न प्रकार के डेटा जैसे लॉग्स, पैकेट्स, इवेंट्स, ट्रांजैक्शंस, टाइमस्टैम्प डेटा आदि को इकट्ठा करता है। डेटा स्रोत सामाजिक डेटा, ई-कॉमर्स, समाचार लेख, सीआरएम, गेम डेटा, वेब रुझान, वित्तीय डेटा, इंटरनेट ऑफ़ थिंग्स, मोबाइल डिवाइस आदि हो सकते हैं।
लॉगस्टैश सामान्य सुविधाएँ
लॉगस्टैश की सामान्य विशेषताएं इस प्रकार हैं -
लॉगस्टैश विभिन्न स्रोतों से डेटा एकत्र कर सकता है और कई गंतव्यों को भेज सकता है।
लॉगस्टैश सभी प्रकार के लॉगिंग डेटा को संभाल सकता है जैसे अपाचे लॉग्स, विंडोज इवेंट लॉग्स, डेटा ओवर नेटवर्क प्रोटोकॉल, स्टैंडर्ड इनपुट से डेटा और कई अन्य।
लॉगस्टैश http अनुरोधों और प्रतिक्रिया डेटा को भी संभाल सकता है।
लॉगस्टैश विभिन्न प्रकार के फिल्टर प्रदान करता है, जो उपयोगकर्ता को डेटा को पार्स और परिवर्तित करके अधिक अर्थ खोजने में मदद करता है।
लॉगस्टैश का उपयोग इंटरनेट की चीजों में सेंसर डेटा को संभालने के लिए भी किया जा सकता है।
लॉगस्टैश खुला स्रोत है और अपाचे लाइसेंस संस्करण 2.0 के तहत उपलब्ध है।
Logstash कुंजी अवधारणाओं
लोगस्टैश की प्रमुख अवधारणाएं इस प्रकार हैं -
घटना वस्तु
यह Logstash में मुख्य वस्तु है, जो Logstash पाइपलाइन में डेटा प्रवाह को एन्क्रिप्ट करता है। लॉगस्टैश इनपुट ऑब्जेक्ट को स्टोर करने और फ़िल्टर चरण के दौरान बनाए गए अतिरिक्त फ़ील्ड को जोड़ने के लिए इस ऑब्जेक्ट का उपयोग करता है।
लॉगस्टैश घटनाक्रम में हेरफेर करने के लिए डेवलपर्स को एक इवेंट एपीआई प्रदान करता है। इस ट्यूटोरियल में, इस इवेंट को विभिन्न नामों जैसे लॉगिंग डेटा इवेंट, लॉग इवेंट, लॉग डेटा, इनपुट लॉग डेटा, आउटपुट लॉग डेटा आदि के साथ संदर्भित किया जाता है।
पाइपलाइन
इसमें लॉगस्टैश में इनपुट से आउटपुट तक डेटा प्रवाह चरणों का समावेश है। इनपुट डेटा को पाइपलाइन में दर्ज किया जाता है और इसे एक घटना के रूप में संसाधित किया जाता है। फिर उपयोगकर्ता या आउटपुट सिस्टम के वांछनीय प्रारूप में आउटपुट गंतव्य पर भेजता है।
इनपुट
यह Logstash पाइपलाइन में पहला चरण है, जिसका उपयोग आगे की प्रक्रिया के लिए Logstash में डेटा प्राप्त करने के लिए किया जाता है। लॉगस्टैश विभिन्न प्लेटफार्मों से डेटा प्राप्त करने के लिए विभिन्न प्लगइन्स प्रदान करता है। सबसे अधिक इस्तेमाल किए जाने वाले कुछ प्लगइन्स हैं - फाइल, सिसलॉग, रेडिस और बीट्स।
फ़िल्टर
यह लॉगस्टैश का मध्य चरण है, जहां घटनाओं का वास्तविक प्रसंस्करण होता है। एक डेवलपर लॉगस्टैश द्वारा पूर्व-परिभाषित रेगेक्स पैटर्न का उपयोग कर सकता है ताकि स्वीकृत इनपुट घटनाओं के लिए घटनाओं और मानदंडों के बीच के अंतर के लिए अनुक्रम बना सकें।
लॉगस्टैश डेवलपर को पार्स करने और घटनाओं को एक वांछित संरचना में बदलने में मदद करने के लिए विभिन्न प्लगइन्स प्रदान करता है। सबसे अधिक उपयोग किए जाने वाले कुछ फ़िल्टर प्लगइन्स हैं - ग्रॉक, म्यूट, ड्रॉप, क्लोन और जियोआईपी।
उत्पादन
यह लॉगस्टैश पाइप लाइन में अंतिम चरण है, जहां आउटपुट घटनाओं को गंतव्य सिस्टम द्वारा आवश्यक संरचना में स्वरूपित किया जा सकता है। अंत में, यह प्लगइन्स का उपयोग करके गंतव्य तक पूर्ण प्रसंस्करण के बाद आउटपुट इवेंट भेजता है। सबसे अधिक उपयोग किए जाने वाले प्लगइन्स में से कुछ हैं - एलेस्टिक्स खोज, फ़ाइल, ग्रेफाइट, स्टैट्सड, आदि।
Logstash के फायदे
निम्नलिखित बिंदु लोगस्टैश के विभिन्न लाभों की व्याख्या करते हैं।
लॉगस्टैश किसी भी इनपुट ईवेंट में विभिन्न फ़ील्ड्स को पहचानने और पार्स करने के लिए रेगेक्स पैटर्न अनुक्रम प्रदान करता है।
लॉगस्टैश लॉगिंग डेटा को निकालने के लिए विभिन्न प्रकार के वेब सर्वर और डेटा स्रोतों का समर्थन करता है।
लॉगस्टैश पार्स और लॉगिंग डेटा को किसी भी उपयोगकर्ता के वांछित प्रारूप में बदलने के लिए कई प्लगइन्स प्रदान करता है।
लॉगस्टैश केंद्रीकृत है, जो विभिन्न सर्वरों से डेटा को संसाधित करना और एकत्र करना आसान बनाता है।
लॉगस्टैश लॉगिंग इवेंट के लिए एक गंतव्य स्रोत के रूप में कई डेटाबेस, नेटवर्क प्रोटोकॉल और अन्य सेवाओं का समर्थन करता है।
Logstash HTTP प्रोटोकॉल का उपयोग करता है, जो लॉस्टश को लॉक स्टेप में अपग्रेड किए बिना उपयोगकर्ता को Elasticsearch संस्करणों को अपग्रेड करने में सक्षम बनाता है।
लॉगस्टैश नुकसान
निम्नलिखित बिंदु लोगस्टैश के विभिन्न नुकसान बताते हैं।
लॉगस्टैश http का उपयोग करता है, जो लॉगिंग डेटा के प्रसंस्करण को नकारात्मक रूप से प्रभावित करता है।
लॉगस्टैश के साथ काम करना कभी-कभी थोड़ा जटिल हो सकता है, क्योंकि इसमें इनपुट लॉगिंग डेटा की अच्छी समझ और विश्लेषण की आवश्यकता होती है।
फ़िल्टर प्लगइन्स सामान्य नहीं हैं, इसलिए, उपयोगकर्ता को पार्सिंग में त्रुटि से बचने के लिए पैटर्न का सही क्रम खोजने की आवश्यकता हो सकती है।
अगले अध्याय में, हम समझेंगे कि ELK Stack क्या है और यह Logstash को कैसे मदद करता है।
ELK खड़ा है Elasticsearch, Logstash, तथा Kibana। ELK स्टैक में, लॉगस्टैश लॉगिंग डेटा या अन्य घटनाओं को विभिन्न इनपुट स्रोतों से निकालता है। यह ईवेंट को संसाधित करता है और बाद में इसे एलेस्टिक्स में संग्रहीत करता है। किबाना एक वेब इंटरफेस है, जो लॉगिंग डेटा फॉर्म को एलीस्टेकर्च में एक्सेस करता है और इसे विज़ुअलाइज़ करता है।
लॉगस्टैश और इलास्टिक्स खोज
लॉगस्टैश इनपुट और आउटपुट प्रदान करता है Elasticsearch प्लगइन पढ़ने और लिखने के लिए Elasticsearch करने के लिए प्लगइन। एलिस्टिक्स खोज कंपनी द्वारा उत्पादन के रूप में भी एलिजाबेथ कंपनी द्वारा कीबाना के साथ संगतता की सिफारिश की जाती है। Logstash http प्रोटोकॉल के ऊपर Elasticsearch में डेटा भेजता है।
Elasticsearch बल्क अपलोड की सुविधा प्रदान करता है, जो विभिन्न स्रोतों या लॉगस्टैश इंस्टेंस से डेटा को केंद्रीकृत Elasticsearch इंजन में अपलोड करने में मदद करता है। अन्य DevOps Solutions पर ELK के निम्नलिखित फायदे हैं -
ईएलके स्टैक को प्रबंधित करना आसान है और घटनाओं के पेटाबाइट्स को संभालने के लिए बढ़ाया जा सकता है।
ELK स्टैक आर्किटेक्चर बहुत लचीला है और यह Hadoop के साथ एकीकरण प्रदान करता है। Hadoop का उपयोग मुख्य रूप से आर्काइव उद्देश्यों के लिए किया जाता है। फ्लॉस्ट का उपयोग करके लॉगस्टैश को सीधे Hadoop से जोड़ा जा सकता है और Elasticsearch नामक कनेक्टर प्रदान करता हैes-hadoop Hadoop से जुड़ना
ईएलके स्वामित्व कुल लागत इसके विकल्पों की तुलना में बहुत कम है।
लॉगस्टैश और किबाना
किबाना सीधे लॉगस्टैश के साथ बातचीत नहीं करता है, लेकिन एक डेटा स्रोत के माध्यम से, जो ईएलके स्टैक में एलिटिक्स खोज है। लॉस्टस्टैश हर स्रोत से डेटा एकत्र करता है और एलीस्टेकर्चर्च बहुत तेज गति से इसका विश्लेषण करता है, फिर किबाना उस डेटा पर कार्रवाई योग्य अंतर्दृष्टि प्रदान करता है।
किबाना एक वेब आधारित विज़ुअलाइज़ेशन टूल है, जो डेवलपर्स और अन्य लोगों को एलिस्टिक्स खोज इंजन में लॉगस्टैश द्वारा एकत्र की गई बड़ी मात्रा में विविधताओं का विश्लेषण करने में मदद करता है। यह विज़ुअलाइज़ेशन, त्रुटियों की प्रवृत्तियों या इनपुट स्रोत की अन्य महत्वपूर्ण घटनाओं में परिवर्तनों को देखना या भविष्यवाणी करना आसान बनाता है।
सिस्टम पर लॉगस्टैश स्थापित करने के लिए, हमें नीचे दिए गए चरणों का पालन करना चाहिए -
Step 1- अपने कंप्यूटर में स्थापित अपने जावा के संस्करण की जांच करें; यह जावा 8 होना चाहिए क्योंकि यह जावा 9 के साथ संगत नहीं है। आप इसे इसके द्वारा देख सकते हैं -
Windows ऑपरेटिंग सिस्टम (OS) में (कमांड प्रॉम्प्ट का उपयोग करके) -
> java -version
UNIX OS में (टर्मिनल का उपयोग करके) -
$ echo $JAVA_HOME
Step 2 - से लॉगस्टैश डाउनलोड करें -
https://www.elastic.co/downloads/logstash।
Windows OS के लिए, ZIP फ़ाइल डाउनलोड करें।
UNIX OS के लिए, TAR फ़ाइल डाउनलोड करें।
डेबियन ओएस के लिए DEB फ़ाइल डाउनलोड करें।
Red Hat और अन्य लिनक्स वितरण के लिए, RPN फ़ाइल डाउनलोड करें।
एपीटी और यम उपयोगिताओं का उपयोग कई लिनक्स वितरणों में लॉगस्टैश स्थापित करने के लिए भी किया जा सकता है।
Step 3- लॉगस्टैश के लिए इंस्टॉलेशन प्रक्रिया बहुत आसान है। आइए देखें कि आप विभिन्न प्लेटफार्मों पर लॉगस्टैश कैसे स्थापित कर सकते हैं।
Note - इंस्टालेशन फोल्डर में कोई व्हाट्सएप या कोलन न लगाएं।
Windows OS - ज़िप पैकेज खोलना और लॉगस्टैश स्थापित किया गया है।
UNIX OS - किसी भी स्थान पर टार फाइल निकालें और लॉगस्टैश स्थापित है।
$tar –xvf logstash-5.0.2.tar.gz
Using APT utility for Linux OS −
- डाउनलोड करें और सार्वजनिक हस्ताक्षर कुंजी स्थापित करें -
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
- रिपॉजिटरी परिभाषा को सहेजें -
$ echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo
tee -a /etc/apt/sources.list.d/elastic-5.x.list
- रन अपडेट -
$ sudo apt-get update
- अब आप निम्न कमांड का उपयोग करके स्थापित कर सकते हैं -
$ sudo apt-get install logstash
Using YUM utility for Debian Linux OS -
- डाउनलोड करें और सार्वजनिक हस्ताक्षर कुंजी स्थापित करें -
$ rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
फ़ाइल में .repo प्रत्यय के साथ निम्नलिखित पाठ को अपने ओ "/etc/yum.repos.d/" निर्देशिका में जोड़ें। उदाहरण के लिए,logstash.repo
[logstash-5.x]
name = Elastic repository for 5.x packages
baseurl = https://artifacts.elastic.co/packages/5.x/yum
gpgcheck = 1
gpgkey = https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled = 1
autorefresh = 1
type = rpm-md
- अब आप निम्न कमांड का उपयोग करके लॉगस्टैश स्थापित कर सकते हैं -
$ sudo yum install logstash
Step 4- लॉगस्टैश होम निर्देशिका पर जाएं। बिन फ़ोल्डर के अंदर, चलाएँelasticsearch.batविंडोज़ के मामले में फ़ाइल या आप कमांड प्रॉम्प्ट का उपयोग करके और टर्मिनल के माध्यम से कर सकते हैं। UNIX में, लॉगस्टैश फ़ाइल चलाएँ।
हमें इनपुट स्रोत, आउटपुट स्रोत और वैकल्पिक फिल्टर निर्दिष्ट करने की आवश्यकता है। स्थापना की पुष्टि करने के लिए, आप इसे इनपुट स्रोत के रूप में एक मानक इनपुट स्ट्रीम (स्टडिन) और आउटपुट स्रोत के रूप में एक मानक आउटपुट स्ट्रीम (स्टडआउट) का उपयोग करके मूल कॉन्फ़िगरेशन के साथ चला सकते हैं। आप कमांड लाइन में कॉन्फ़िगरेशन का उपयोग करके भी निर्दिष्ट कर सकते हैं–e विकल्प।
In Windows −
> cd logstash-5.0.1/bin
> Logstash -e 'input { stdin { } } output { stdout {} }'
In Linux −
$ cd logstash-5.0.1/bin
$ ./logstash -e 'input { stdin { } } output { stdout {} }'
Note- खिड़कियों के मामले में, आपको एक त्रुटि मिल सकती है जिसमें कहा गया है कि JAVA_HOME सेट नहीं है। इसके लिए, कृपया इसे पर्यावरण चर में "C: \ Program Files \ Java \ jre1.8.0_111" या उस स्थान पर सेट करें जहाँ आपने जावा स्थापित किया था।
Step 5 - लॉगस्टैश वेब इंटरफेस के लिए डिफ़ॉल्ट पोर्ट 9600 से 9700 में परिभाषित किए गए हैं logstash-5.0.1\config\logstash.yml के रूप में http.port और यह दी गई सीमा में पहले उपलब्ध बंदरगाह को उठाएगा।
हम जांच सकते हैं कि लॉगस्टैश सर्वर ब्राउजिंग करके चल रहा है या नहीं http://localhost:9600या यदि पोर्ट अलग है और फिर कमांड प्रॉम्प्ट या टर्मिनल की जांच करें। हम असाइन किए गए पोर्ट को “सफलतापूर्वक शुरू किया गया लॉगस्टैश API समापन बिंदु {: पोर्ट ⇒ 9600} के रूप में देख सकते हैं। यह एक JSON ऑब्जेक्ट लौटाएगा, जिसमें निम्न तरीके से स्थापित लॉगस्टैश के बारे में जानकारी है -
{
"host":"manu-PC",
"version":"5.0.1",
"http_address":"127.0.0.1:9600",
"build_date":"2016-11-11T22:28:04+00:00",
"build_sha":"2d8d6263dd09417793f2a0c6d5ee702063b5fada",
"build_snapshot":false
}
इस अध्याय में, हम आंतरिक वास्तुकला और लोगस्टैश के विभिन्न घटकों के बारे में चर्चा करेंगे।
लॉगस्टैश सर्विस आर्किटेक्चर
लॉगस्टैश प्रक्रिया विभिन्न सर्वरों और डेटा स्रोतों से लॉग होती है और यह शिपर के रूप में व्यवहार करती है। लॉग को इकट्ठा करने के लिए शिपर्स का उपयोग किया जाता है और ये हर इनपुट स्रोत में स्थापित होते हैं। दलाल पसंद करते हैंRedis, Kafka या RabbitMQ इंडेक्सर्स के लिए डेटा रखने के लिए बफ़र हैं, उदाहरणों में विफल रहने पर एक से अधिक ब्रोकर हो सकते हैं।
इंडेक्सर्स जैसे Luceneबेहतर खोज प्रदर्शन के लिए लॉग को अनुक्रमित करने के लिए उपयोग किया जाता है और फिर आउटपुट को एलास्टिसर्च या अन्य आउटपुट गंतव्य में संग्रहीत किया जाता है। आउटपुट स्टोरेज में डेटा किबाना और अन्य विज़ुअलाइज़ेशन सॉफ़्टवेयर के लिए उपलब्ध है।
लॉगस्टैश आंतरिक वास्तुकला
लॉगस्टैश पाइपलाइन में तीन घटक होते हैं Input, Filters तथा Output। इनपुट भाग इनपुट डेटा स्रोत को निर्दिष्ट करने और एक्सेस करने के लिए ज़िम्मेदार है जैसे कि लॉग फ़ोल्डरApache Tomcat Server।
Logstash पाइपलाइन को समझाने के लिए उदाहरण
लॉगस्टैश कॉन्फ़िगरेशन फ़ाइल में लॉगस्टैश के तीन घटकों के बारे में विवरण होता है। इस मामले में, हम एक फ़ाइल नाम बना रहे हैंLogstash.conf।
निम्न कॉन्फ़िगरेशन इनपुट लॉग "inlog.log" से डेटा कैप्चर करता है और इसे किसी भी फ़िल्टर के बिना आउटपुट लॉग "outlog.log" पर लिखता है।
Logstash.conf
लॉगस्टैश कॉन्फ़िगरेशन फ़ाइल डेटा को केवल से कॉपी करता है inlog.log इनपुट प्लगइन का उपयोग करके फ़ाइल और लॉग डेटा को फ्लश करता है outlog.log आउटपुट प्लगइन का उपयोग करके फ़ाइल।
input {
file {
path => "C:/tpwork/logstash/bin/log/inlog.log"
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/outlog.log"
}
}
लॉगस्टैश चलाएं
लॉगस्टैश उपयोग करता है –f विन्यास फाइल को निर्दिष्ट करने का विकल्प।
C:\logstash\bin> logstash –f logstash.conf
inlog.log
निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।
Hello tutorialspoint.com
outlog.log
लॉगस्टैश आउटपुट में संदेश क्षेत्र में इनपुट डेटा होता है। लॉगस्टैश अन्य क्षेत्रों को भी उत्पादन में जोड़ता है जैसे टाइमस्टैम्प, पथ का इनपुट स्रोत, संस्करण, होस्ट और टैग।
{
"path":"C:/tpwork/logstash/bin/log/inlog1.log",
"@timestamp":"2016-12-13T02:28:38.763Z",
"@version":"1", "host":"Dell-PC",
"message":" Hello tutorialspoint.com", "tags":[]
}
जैसा कि आप कर सकते हैं, लॉगस्टैश के आउटपुट में इनपुट लॉग के माध्यम से दिए गए डेटा से अधिक है। आउटपुट में स्रोत पथ, टाइमस्टैम्प, संस्करण, होस्टनाम और टैग शामिल हैं, जिनका उपयोग त्रुटियों जैसे अतिरिक्त संदेशों का प्रतिनिधित्व करने के लिए किया जाता है।
हम डेटा को संसाधित करने और अपनी आवश्यकताओं के लिए उपयोगी बनाने के लिए फ़िल्टर का उपयोग कर सकते हैं। अगले उदाहरण में, हम डेटा प्राप्त करने के लिए फ़िल्टर का उपयोग कर रहे हैं, जो केवल GET या POST जैसे क्रिया के साथ आउटपुट को प्रतिबंधित करता है, उसके बाद AUnique Resource Identifier।
Logstash.conf
इस Logstash कॉन्फ़िगरेशन में, हम एक फ़िल्टर नाम जोड़ते हैं grokइनपुट डेटा को फ़िल्टर करने के लिए। इनपुट लॉग ईवेंट, जो पैटर्न अनुक्रम इनपुट लॉग से मेल खाती है, केवल त्रुटि के साथ आउटपुट गंतव्य पर पहुंचती है। लॉगस्टैश आउटपुट इवेंट्स में "_grokparsefailure" नाम का एक टैग जोड़ता है, जो कि ग्रूव फिल्टर फ़िल्टर अनुक्रम से मेल नहीं खाता है।
लॉगस्टैश अपाचे जैसे लोकप्रिय सर्वर लॉग को पार्स करने के लिए कई इनबिल्ट रेगेक्स पैटर्न प्रदान करता है। यहां इस्तेमाल किया गया पैटर्न एक समान संसाधन पहचानकर्ता द्वारा प्राप्त क्रिया, पद, आदि की अपेक्षा करता है।
input {
file {
path => "C:/tpwork/logstash/bin/log/inlog2.log"
}
}
filter {
grok {
match => {"message" => "%{WORD:verb} %{URIPATHPARAM:uri}"}
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/outlog2.log"
}
}
लॉगस्टैश चलाएं
हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।
C:\logstash\bin> logstash –f Logstash.conf
inlog2.log
हमारी इनपुट फ़ाइल में डिफ़ॉल्ट सीमांकक द्वारा अलग की गई दो घटनाएं होती हैं, अर्थात, नई लाइन सीमांकक। पहला ईवेंट ग्रॉक में निर्दिष्ट पैटर्न से मेल खाता है और दूसरा नहीं है।
GET /tutorialspoint/Logstash
Input 1234
outlog2.log
हम देख सकते हैं कि दूसरी आउटपुट ईवेंट में "_grokparsefailure" टैग शामिल है, क्योंकि यह ग्रॉक फिल्टर पैटर्न से मेल नहीं खाता है। उपयोगकर्ता इन बेजोड़ घटनाओं को आउटपुट में हटाकर भी उपयोग कर सकता है‘if’ आउटपुट प्लगइन में स्थिति।
{
"path":"C:/tpwork/logstash/bin/log/inlog2.log",
"@timestamp":"2016-12-13T02:47:10.352Z","@version":"1","host":"Dell-PC","verb":"GET",
"message":"GET /tutorialspoint/logstash", "uri":"/tutorialspoint/logstash", "tags":[]
}
{
"path":"C:/tpwork/logstash/bin/log/inlog2.log",
"@timestamp":"2016-12-13T02:48:12.418Z", "@version":"1", "host":"Dell-PC",
"message":"t 1234\r", "tags":["_grokparsefailure"]
}
विभिन्न सर्वर या डेटा स्रोतों से लॉग को शिपर्स का उपयोग करके एकत्र किया जाता है। एक शिपर सर्वर में स्थापित लॉगस्टैश का एक उदाहरण है, जो सर्वर लॉग को एक्सेस करता है और विशिष्ट आउटपुट लोकेशन पर भेजता है।
यह मुख्य रूप से स्टोरेज के लिए आउटपुट को एलीस्टेकर्च में भेजता है। लॉगस्टैश निम्न स्रोतों से इनपुट लेता है -
- STDIN
- Syslog
- Files
- TCP/UDP
- Microsoft विंडोज़ घटनाएँ
- Websocket
- Zeromq
- अनुकूलित एक्सटेंशन
Apache Tomcat 7 सर्वर का उपयोग करके लॉग एकत्रित करना
इस उदाहरण में, हम Apache Tomcat 7 सर्वर के लॉग को फाइल इनपुट प्लग इन का उपयोग करके और दूसरे लॉग में भेजने के लिए एकत्रित कर रहे हैं।
logstash.conf
यहां, स्थानीय रूप से स्थापित Apache Tomcat 7 के एक्सेस लॉग को एक्सेस करने के लिए Logstash को कॉन्फ़िगर किया गया है। लॉग फ़ाइल से डेटा प्राप्त करने के लिए फ़ाइल प्लगइन के पथ सेटिंग में एक regex पैटर्न का उपयोग किया जाता है। इसमें इसके नाम में "एक्सेस" शामिल है और यह एक अपाचे प्रकार जोड़ता है, जो एक केंद्रीकृत गंतव्य स्रोत में अपाचे घटनाओं को दूसरे से अलग करने में मदद करता है। अंत में, आउटपुट इवेंट्स output.log में दिखाए जाएंगे।
input {
file {
path => "C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/*access*"
type => "apache"
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
}
}
लॉगस्टैश चलाएं
हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।
C:\logstash\bin> logstash –f Logstash.conf
अपाचे टॉम्केट लॉग
Apache Tomcat Server और उसके वेब ऐप्स तक पहुँचें (http://localhost:8080) लॉग उत्पन्न करने के लिए। लॉग में अपडेट किए गए डेटा को वास्तविक समय में लॉगस्टैश द्वारा पढ़ा जाता है और कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट आउटपुट.लॉग में स्टैक्ड होता है।
Apache Tomcat तिथि के अनुसार एक नई एक्सेस लॉग फ़ाइल बनाता है और वहां एक्सेस इवेंट्स को लॉग करता है। हमारे मामले में, यह localhost_access_log.2016-12-24.txt थाlogs Apache Tomcat की निर्देशिका।
0:0:0:0:0:0:0:1 - - [
25/Dec/2016:18:37:00 +0800] "GET / HTTP/1.1" 200 11418
0:0:0:0:0:0:0:1 - munish [
25/Dec/2016:18:37:02 +0800] "GET /manager/html HTTP/1.1" 200 17472
0:0:0:0:0:0:0:1 - - [
25/Dec/2016:18:37:08 +0800] "GET /docs/ HTTP/1.1" 200 19373
0:0:0:0:0:0:0:1 - - [
25/Dec/2016:18:37:10 +0800] "GET /docs/introduction.html HTTP/1.1" 200 15399
output.log
आप आउटपुट ईवेंट में देख सकते हैं, एक प्रकार का फ़ील्ड जोड़ा जाता है और ईवेंट संदेश फ़ील्ड में मौजूद होता है।
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
localhost_access_log.2016-12-25.txt",
"@timestamp":"2016-12-25T10:37:00.363Z","@version":"1","host":"Dell-PC",
"message":"0:0:0:0:0:0:0:1 - - [25/Dec/2016:18:37:00 +0800] \"GET /
HTTP/1.1\" 200 11418\r","type":"apache","tags":[]
}
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
localhost_access_log.2016-12-25.txt","@timestamp":"2016-12-25T10:37:10.407Z",
"@version":"1","host":"Dell-PC",
"message":"0:0:0:0:0:0:0:1 - munish [25/Dec/2016:18:37:02 +0800] \"GET /
manager/html HTTP/1.1\" 200 17472\r","type":"apache","tags":[]
}
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
localhost_access_log.2016-12-25.txt","@timestamp":"2016-12-25T10:37:10.407Z",
"@version":"1","host":"Dell-PC",
"message":"0:0:0:0:0:0:0:1 - - [25/Dec/2016:18:37:08 +0800] \"GET /docs/
HTTP/1.1\" 200 19373\r","type":"apache","tags":[]
}
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
localhost_access_log.2016-12-25.txt","@timestamp":"2016-12-25T10:37:20.436Z",
"@version":"1","host":"Dell-PC",
"message":"0:0:0:0:0:0:0:1 - - [25/Dec/2016:18:37:10 +0800] \"GET /docs/
introduction.html HTTP/1.1\" 200 15399\r","type":"apache","tags":[]
}
STDIN प्लगइन का उपयोग करके लॉग एकत्रित करना
इस खंड में, हम लॉग का एक और उदाहरण का उपयोग करके चर्चा करेंगे STDIN Plugin।
logstash.conf
यह एक बहुत ही सरल उदाहरण है, जहां लॉगस्टैश उपयोगकर्ता द्वारा मानक इनपुट में दर्ज की गई घटनाओं को पढ़ रहा है। हमारे मामले में, यह कमांड प्रॉम्प्ट है, जो आउटपुट.लॉग फ़ाइल में घटनाओं को संग्रहीत करता है।
input {
stdin{}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
}
}
लॉगस्टैश चलाएं
हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।
C:\logstash\bin> logstash –f Logstash.conf
कमांड प्रॉम्प्ट में निम्नलिखित टेक्स्ट लिखें -
उपयोगकर्ता ने निम्नलिखित दो पंक्तियों में प्रवेश किया। लॉगस्टैश घटनाओं को सीमांकक सेटिंग द्वारा अलग करता है और डिफ़ॉल्ट रूप से इसका मूल्य '\ n' है। उपयोगकर्ता फ़ाइल प्लगइन में सीमांकक के मान को बदलकर बदल सकता है।
Tutorialspoint.com welcomes you
Simply easy learning
output.log
निम्न कोड ब्लॉक आउटपुट लॉग डेटा दिखाता है।
{
"@timestamp":"2016-12-25T11:41:16.518Z","@version":"1","host":"Dell-PC",
"message":"tutrialspoint.com welcomes you\r","tags":[]
}
{
"@timestamp":"2016-12-25T11:41:53.396Z","@version":"1","host":"Dell-PC",
"message":"simply easy learning\r","tags":[]
}
लॉगस्टैश विभिन्न स्रोतों से लॉग की एक विशाल श्रृंखला का समर्थन करता है। यह नीचे वर्णित के रूप में प्रसिद्ध स्रोतों के साथ काम कर रहा है।
मेट्रिक्स से लॉग इकट्ठा करें
सिस्टम इवेंट और अन्य समय की गतिविधियाँ मैट्रिक्स में दर्ज की जाती हैं। लॉगस्टैश सिस्टम मेट्रिक्स से लॉग तक पहुंच सकता है और फिल्टर का उपयोग करके उन्हें संसाधित कर सकता है। यह उपयोगकर्ता को अनुकूलित तरीके से घटनाओं का लाइव फीड दिखाने में मदद करता है। मेट्रिक्स के अनुसार फ्लश किया जाता हैflush_interval settingमीट्रिक फ़िल्टर और डिफ़ॉल्ट रूप से; यह 5 सेकंड के लिए सेट है।
हम लॉगस्टैश द्वारा निर्मित टेस्ट मेट्रिक्स को ट्रैक कर रहे हैं, लॉगस्टैश के माध्यम से चल रही घटनाओं का विश्लेषण और विश्लेषण कर कमांड प्रॉम्प्ट पर लाइव फीड दिखा रहे हैं।
logstash.conf
इस कॉन्फ़िगरेशन में एक जनरेटर प्लगइन होता है, जो टेस्ट मेट्रिक्स के लिए लॉगस्टैश द्वारा पेश किया जाता है और पार्सिंग के लिए "जेनरेट" करने के लिए टाइप सेटिंग सेट करता है। फ़िल्टरिंग चरण में, हम केवल 'if' स्टेटमेंट का उपयोग करके एक जेनरेट किए गए टाइप के साथ लाइनों को प्रोसेस कर रहे हैं। फिर, मेट्रिक्स प्लगइन मीटर सेटिंग्स में निर्दिष्ट फ़ील्ड को गिनता है। मेट्रिक्स प्लगइन में निर्दिष्ट प्रत्येक 5 सेकंड के बाद गिनती को फ्लश करता हैflush_interval।
अंत में, एक मानक आउटपुट जैसे फ़िल्टर प्रॉम्प्ट को आउटपुट करें जैसे कमांड प्रॉम्प्ट का उपयोग करके codec pluginस्वरूपण के लिए। 1 मिनट की स्लाइडिंग विंडो में प्रति सेकंड ईवेंट को आउटपुट करने के लिए कोडेक प्लगइन [ घटनाओं ] [ rate_1m ] मूल्य का उपयोग कर रहा है ।
input {
generator {
type => "generated"
}
}
filter {
if [type] == "generated" {
metrics {
meter => "events"
add_tag => "metric"
}
}
}
output {
# only emit events with the 'metric' tag
if "metric" in [tags] {
stdout {
codec => line { format => "rate: %{[events][rate_1m]}"
}
}
}
लॉगस्टैश चलाएं
हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।
>logsaths –f logstash.conf
stdout (कमांड प्रॉम्प्ट)
rate: 1308.4
rate: 1308.4
rate: 1368.654529135342
rate: 1416.4796003951449
rate: 1464.974293984808
rate: 1523.3119444107458
rate: 1564.1602979542715
rate: 1610.6496496890895
rate: 1645.2184750334154
rate: 1688.7768007612485
rate: 1714.652283095914
rate: 1752.5150680019278
rate: 1785.9432934744932
rate: 1806.912181962126
rate: 1836.0070454626025
rate: 1849.5669494173826
rate: 1871.3814756851832
rate: 1883.3443123790712
rate: 1906.4879113216743
rate: 1925.9420717997118
rate: 1934.166137658981
rate: 1954.3176526556897
rate: 1957.0107444542625
वेब सर्वर से लॉग इकट्ठा करें
वेब सर्वर उपयोगकर्ता पहुंच और त्रुटियों के संबंध में बड़ी संख्या में लॉग उत्पन्न करते हैं। लॉगस्टैश इनपुट प्लग इन का उपयोग करके विभिन्न सर्वरों से लॉग निकालने में मदद करता है और उन्हें एक केंद्रीकृत स्थान पर स्टैश करता है।
हम इसमें से डेटा निकाल रहे हैं stderr logs स्थानीय Apache Tomcat सर्वर और इसे output.log में मार रहा है।
logstash.conf
यह लॉगस्टैश कॉन्फ़िगरेशन फ़ाइल लॉगस्टैश को अपाचे त्रुटि लॉग को पढ़ने और "अपाचे-एरर" नामक टैग जोड़ने के लिए निर्देशित करता है। हम फ़ाइल आउटपुट प्लगइन का उपयोग करके इसे आउटपुट पर भेज सकते हैं।
input {
file {
path => "C:/Program Files/Apache Software Foundation/Tomcat 7.0 /logs/*stderr*"
type => "apache-error"
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
}
}
लॉगस्टैश चलाएं
हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।
>Logstash –f Logstash.conf
इनपुट लॉग का नमूना
यह नमूना है stderr log, जो Apache Tomcat में सर्वर घटनाओं के होने पर उत्पन्न होता है।
C: \ Program Files \ Apache Software Foundation \ Tomcat 7.0 \ log \ tomcat7-stderr.2016-12-25.log
Dec 25, 2016 7:05:14 PM org.apache.coyote.AbstractProtocol start
INFO: Starting ProtocolHandler ["http-bio-9999"]
Dec 25, 2016 7:05:14 PM org.apache.coyote.AbstractProtocol start
INFO: Starting ProtocolHandler ["ajp-bio-8009"]
Dec 25, 2016 7:05:14 PM org.apache.catalina.startup.Catalina start
INFO: Server startup in 823 ms
output.log
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
"@version":"1","host":"Dell-PC",
"message":"Dec 25, 2016 7:05:14 PM org.apache.coyote.AbstractProtocol start\r",
"type":"apache-error","tags":[]
}
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
"@version":"1","host":"Dell-PC",
"message":"INFO: Starting ProtocolHandler [
\"ajp-bio-8009\"]\r","type":"apache-error","tags":[]
}
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
"@version":"1","host":"Dell-PC",
"message":"Dec 25, 2016 7:05:14 PM org.apache.catalina.startup.Catalina start\r",
"type":"apache-error","tags":[]
}
{
"path":"C:/Program Files/Apache Software Foundation/Tomcat 7.0/logs/
tomcat7-stderr.2016-12-25.log","@timestamp":"2016-12-25T11:05:27.045Z",
"@version":"1","host":"Dell-PC",
"message":"INFO: Server startup in 823 ms\r","type":"apache-error","tags":[]
}
डेटा स्रोतों से लॉग इकट्ठा करें
शुरुआत करने के लिए, आइए समझते हैं कि लॉगिंग के लिए MySQL कॉन्फ़िगर कैसे करें। में निम्नलिखित पंक्तियाँ जोड़ेंmy.ini file MySQL डेटाबेस सर्वर के तहत [mysqld]।
विंडोज़ में, यह MySQL की स्थापना निर्देशिका के अंदर मौजूद है, जो कि में है -
C:\wamp\bin\mysql\mysql5.7.11
UNIX में, आप इसे पा सकते हैं - /etc/mysql/my.cnf
general_log_file = "C:/wamp/logs/queries.log"
general_log = 1
logstash.conf
इस कॉन्फ़िगर फ़ाइल में, फ़ाइल प्लगइन का उपयोग MySQL लॉग को पढ़ने और ouput.log पर लिखने के लिए किया जाता है।
input {
file {
path => "C:/wamp/logs/queries.log"
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
}
}
queries.log
यह MySQL डेटाबेस में निष्पादित प्रश्नों द्वारा उत्पन्न लॉग है।
2016-12-25T13:05:36.854619Z 2 Query select * from test1_users
2016-12-25T13:05:51.822475Z 2 Query select count(*) from users
2016-12-25T13:05:59.998942Z 2 Query select count(*) from test1_users
output.log
{
"path":"C:/wamp/logs/queries.log","@timestamp":"2016-12-25T13:05:37.905Z",
"@version":"1","host":"Dell-PC",
"message":"2016-12-25T13:05:36.854619Z 2 Query\tselect * from test1_users",
"tags":[]
}
{
"path":"C:/wamp/logs/queries.log","@timestamp":"2016-12-25T13:05:51.938Z",
"@version":"1","host":"Dell-PC",
"message":"2016-12-25T13:05:51.822475Z 2 Query\tselect count(*) from users",
"tags":[]
}
{
"path":"C:/wamp/logs/queries.log","@timestamp":"2016-12-25T13:06:00.950Z",
"@version":"1","host":"Dell-PC",
"message":"2016-12-25T13:05:59.998942Z 2 Query\tselect count(*) from test1_users",
"tags":[]
}
लॉगस्टैश इनपुट प्लगइन्स का उपयोग करके लॉग प्राप्त करता है और फिर डेटा को पार्स और बदलने के लिए फ़िल्टर प्लगइन्स का उपयोग करता है। लॉग के पार्सिंग और परिवर्तन आउटपुट गंतव्य में मौजूद सिस्टम के अनुसार किए जाते हैं। लॉगस्टैश लॉगिंग डेटा को पार्स करता है और केवल आवश्यक फ़ील्ड को आगे बढ़ाता है। बाद में, इन क्षेत्रों को गंतव्य प्रणाली के संगत और समझने योग्य रूप में बदल दिया जाता है।
कैसे लॉग पार्स करने के लिए?
लॉग का पार्सिंग मेरे प्रयोग से किया जाता है GROK (ज्ञान का चित्रमय प्रतिनिधित्व) पैटर्न और आप उन्हें गितुब में पा सकते हैं -
https://github.com/elastic/logstash/tree/v1.4.2/patterns।
लॉगस्टैश "% {COMBINEDAPACHELOG} जैसे लॉग को पार्स करने के लिए एक निर्दिष्ट सकल पैटर्न या एक पैटर्न अनुक्रम के साथ लॉग के डेटा से मेल खाता है, जो आमतौर पर एपाचे लॉग के लिए उपयोग किया जाता है।
पार्स किया गया डेटा अधिक संरचित और खोज करने में आसान और क्वेरी करने के लिए आसान है। लॉगस्टैश इनपुट लॉग में निर्दिष्ट सकल पैटर्न की खोज करता है और लॉग से मिलान लाइनों को निकालता है। आप अपने सकल पैटर्न का परीक्षण करने के लिए सकल डिबगर का उपयोग कर सकते हैं।
सकल पैटर्न का सिंटैक्स% {SYNTAX: SEMANTIC} है। Logstash GROK फ़िल्टर निम्नलिखित रूप में लिखा गया है -
%{PATTERN:FieldName}
यहाँ, PATTERN GROK पैटर्न का प्रतिनिधित्व करता है और फ़ील्डनाम फ़ील्ड का नाम है, जो आउटपुट में पार्स किए गए डेटा का प्रतिनिधित्व करता है।
उदाहरण के लिए, ऑनलाइन सकल डिबगर का उपयोग करना https://grokdebug.herokuapp.com/
इनपुट
एक लॉग में एक नमूना त्रुटि लाइन -
[Wed Dec 07 21:54:54.048805 2016] [:error] [pid 1234:tid 3456829102]
[client 192.168.1.1:25007] JSP Notice: Undefined index: abc in
/home/manu/tpworks/tutorialspoint.com/index.jsp on line 11
सकल पैटर्न अनुक्रम
यह सकल पैटर्न अनुक्रम लॉग इवेंट से मेल खाता है, जिसमें एक टाइमस्टैम्प शामिल है जिसके बाद लॉग स्तर, प्रक्रिया आईडी, लेन-देन आईडी और एक त्रुटि संदेश है।
\[(%{DAY:day} %{MONTH:month} %{MONTHDAY} %{TIME} %{YEAR})\] \[.*:%{LOGLEVEL:loglevel}\]
\[pid %{NUMBER:pid}:tid %{NUMBER:tid}\] \[client %{IP:clientip}:.*\]
%{GREEDYDATA:errormsg}
उत्पादन
आउटपुट JSON फॉर्मेट में है।
{
"day": [
"Wed"
],
"month": [
"Dec"
],
"loglevel": [
"error"
],
"pid": [
"1234"
],
"tid": [
"3456829102"
],
"clientip": [
"192.168.1.1"
],
"errormsg": [
"JSP Notice: Undefined index: abc in
/home/manu/tpworks/tutorialspoint.com/index.jsp on line 11"
]
}
लॉगस्टैश इनपुट और आउटपुट के बीच पाइपलाइन के बीच में फिल्टर का उपयोग करता है। लॉगस्टश के उपायों के फिल्टर हेरफेर करते हैं और जैसी घटनाओं को बनाते हैंApache-Access। लॉगस्टैश में घटनाओं को प्रबंधित करने के लिए कई फ़िल्टर प्लगइन्स का उपयोग किया जाता है। यहाँ, एक उदाहरण मेंLogstash Aggregate Filter, हम एक डेटाबेस में हर SQL लेनदेन की अवधि को फ़िल्टर कर रहे हैं और कुल समय की गणना कर रहे हैं।
एग्रीगेट फ़िल्टर प्लगइन स्थापित करना
लॉगस्टैश-प्लगइन यूटिलिटी का उपयोग करके एग्रीगेट फ़िल्टर प्लगइन स्थापित करना। लॉगस्टैश-प्लगइन विंडोज़ में एक बैच फ़ाइल हैbin folder लोगस्टैश में।
>logstash-plugin install logstash-filter-aggregate
logstash.conf
इस कॉन्फ़िगरेशन में, आप तीन 'if' स्टेटमेंट देख सकते हैं Initializing, Incrementing, तथा generating लेन-देन की कुल अवधि, यानी sql_duration। एग्रीगेट प्लगइन का उपयोग sql_duration को जोड़ने के लिए किया जाता है, जो इनपुट लॉग के प्रत्येक ईवेंट में मौजूद होता है।
input {
file {
path => "C:/tpwork/logstash/bin/log/input.log"
}
}
filter {
grok {
match => [
"message", "%{LOGLEVEL:loglevel} -
%{NOTSPACE:taskid} - %{NOTSPACE:logger} -
%{WORD:label}( - %{INT:duration:int})?"
]
}
if [logger] == "TRANSACTION_START" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] = 0"
map_action => "create"
}
}
if [logger] == "SQL" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] ||= 0 ;
map['sql_duration'] += event.get('duration')"
}
}
if [logger] == "TRANSACTION_END" {
aggregate {
task_id => "%{taskid}"
code => "event.set('sql_duration', map['sql_duration'])"
end_of_task => true
timeout => 120
}
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
}
}
लॉगस्टैश चलाएं
हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।
>logstash –f logstash.conf
input.log
निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।
INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end
output.log
कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट किया गया है, अंतिम 'अगर' कथन जहां लकड़हारा है - TRANSACTION_END, जो कुल लेनदेन समय या sql_duration को प्रिंट करता है। आउटपुट में इसे पीले रंग में हाइलाइट किया गया है।
{
"path":"C:/tpwork/logstash/bin/log/input.log","@timestamp": "2016-12-22T19:04:37.214Z",
"loglevel":"INFO","logger":"TRANSACTION_START","@version": "1","host":"wcnlab-PC",
"message":"8566 - TRANSACTION_START - start\r","tags":[]
}
{
"duration":320,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-22T19:04:38.366Z","loglevel":"INFO","logger":"SQL",
"@version":"1","host":"wcnlab-PC","label":"transaction1",
"message":" INFO - 48566 - SQL - transaction1 - 320\r","taskid":"48566","tags":[]
}
{
"duration":200,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-22T19:04:38.373Z","loglevel":"INFO","logger":"SQL",
"@version":"1","host":"wcnlab-PC","label":"transaction1",
"message":" INFO - 48566 - SQL - transaction1 - 200\r","taskid":"48566","tags":[]
}
{
"sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-22T19:04:38.380Z","loglevel":"INFO","logger":"TRANSACTION_END",
"@version":"1","host":"wcnlab-PC","label":"end",
"message":" INFO - 48566 - TRANSACTION_END - end\r","taskid":"48566","tags":[]
}
लॉगस्टैश पार्स किए गए लॉग को बदलने के लिए विभिन्न प्लगइन्स प्रदान करता है। ये प्लगइन्स कर सकते हैंAdd, Delete, तथा Update आउटपुट सिस्टम में बेहतर समझ और क्वेरी के लिए लॉग में फ़ील्ड।
हम उपयोग कर रहे हैं Mutate Plugin इनपुट लॉग की प्रत्येक पंक्ति में फ़ील्ड नाम उपयोगकर्ता जोड़ने के लिए।
म्यूट फ़िल्टर फ़िल्टर स्थापित करें
म्यूट फ़िल्टर फ़िल्टर स्थापित करने के लिए; हम निम्नलिखित कमांड का उपयोग कर सकते हैं।
>Logstash-plugin install Logstash-filter-mutate
logstash.conf
इस कॉन्फ़िग फ़ाइल में, एक नए फ़ील्ड को जोड़ने के लिए Aggregate Plugin के बाद Mutate Plugin जोड़ा जाता है।
input {
file {
path => "C:/tpwork/logstash/bin/log/input.log"
}
}
filter {
grok {
match => [ "message", "%{LOGLEVEL:loglevel} -
%{NOTSPACE:taskid} - %{NOTSPACE:logger} -
%{WORD:label}( - %{INT:duration:int})?" ]
}
if [logger] == "TRANSACTION_START" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] = 0"
map_action => "create"
}
}
if [logger] == "SQL" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] ||= 0 ;
map['sql_duration'] += event.get('duration')"
}
}
if [logger] == "TRANSACTION_END" {
aggregate {
task_id => "%{taskid}"
code => "event.set('sql_duration', map['sql_duration'])"
end_of_task => true
timeout => 120
}
}
mutate {
add_field => {"user" => "tutorialspoint.com"}
}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
}
}
लॉगस्टैश चलाएं
हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।
>logstash –f logstash.conf
input.log
निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।
INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end
output.log
आप देख सकते हैं कि आउटपुट घटनाओं में "उपयोगकर्ता" नाम का एक नया क्षेत्र है।
{
"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-25T19:55:37.383Z",
"@version":"1",
"host":"wcnlab-PC",
"message":"NFO - 48566 - TRANSACTION_START - start\r",
"user":"tutorialspoint.com","tags":["_grokparsefailure"]
}
{
"duration":320,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-25T19:55:37.383Z","loglevel":"INFO","logger":"SQL",
"@version":"1","host":"wcnlab-PC","label":"transaction1",
"message":" INFO - 48566 - SQL - transaction1 - 320\r",
"user":"tutorialspoint.com","taskid":"48566","tags":[]
}
{
"duration":200,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-25T19:55:37.399Z","loglevel":"INFO",
"logger":"SQL","@version":"1","host":"wcnlab-PC","label":"transaction1",
"message":" INFO - 48566 - SQL - transaction1 - 200\r",
"user":"tutorialspoint.com","taskid":"48566","tags":[]
}
{
"sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2016-12-25T19:55:37.399Z","loglevel":"INFO",
"logger":"TRANSACTION_END","@version":"1","host":"wcnlab-PC","label":"end",
"message":" INFO - 48566 - TRANSACTION_END - end\r",
"user":"tutorialspoint.com","taskid":"48566","tags":[]
}
आउटपुट लॉगस्टैश पाइपलाइन में अंतिम चरण है, जो इनपुट डेटा से निर्दिष्ट गंतव्य तक फ़िल्टर डेटा भेजता है। लॉगस्टैश फ़िल्टर किए गए लॉग ईवेंट को विभिन्न अलग-अलग स्टोरेज और सर्च इंजनों पर स्टैश करने के लिए कई आउटपुट प्लगइन्स प्रदान करता है।
भंडारण लॉग
लॉगस्टैश फ़िल्टर किए गए लॉग को एक में स्टोर कर सकता है File, Elasticsearch Engine, stdout, AWS CloudWatch, आदि जैसे नेटवर्क प्रोटोकॉल TCP, UDP, Websocket लॉग इवेंट में दूरस्थ स्टोरेज सिस्टम में लॉग इवेंट को स्थानांतरित करने के लिए भी उपयोग किया जा सकता है।
ELK स्टैक में, उपयोगकर्ता लॉग इवेंट्स को संग्रहीत करने के लिए Elasticsearch इंजन का उपयोग करते हैं। यहां, निम्नलिखित उदाहरण में, हम एक स्थानीय इलास्टिक्स खोज इंजन के लिए लॉग ईवेंट उत्पन्न करेंगे।
Elasticsearch आउटपुट प्लगइन स्थापित करना
हम निम्न कमांड के साथ एलीस्टेकर्च आउटपुट प्लगइन स्थापित कर सकते हैं।
>logstash-plugin install Logstash-output-elasticsearch
logstash.conf
इस कॉन्फिग फ़ाइल में एलियस्टिक्स खोज प्लगइन होता है, जो स्थानीय रूप से स्थापित एलिटिक्स खोज में आउटपुट इवेंट को संग्रहीत करता है।
input {
file {
path => "C:/tpwork/logstash/bin/log/input.log"
}
}
filter {
grok {
match => [ "message", "%{LOGLEVEL:loglevel} -
%{NOTSPACE:taskid} - %{NOTSPACE:logger} -
%{WORD:label}( - %{INT:duration:int})?" ]
}
if [logger] == "TRANSACTION_START" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] = 0"
map_action => "create"
}
}
if [logger] == "SQL" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] ||= 0 ;
map['sql_duration'] += event.get('duration')"
}
}
if [logger] == "TRANSACTION_END" {
aggregate {
task_id => "%{taskid}"
code => "event.set('sql_duration', map['sql_duration'])"
end_of_task => true
timeout => 120
}
}
mutate {
add_field => {"user" => "tutorialspoint.com"}
}
}
output {
elasticsearch {
hosts => ["127.0.0.1:9200"]
}
}
Input.log
निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।
INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end
एलिजाबेथ पर स्थानीय लोगों की खोज शुरू करें
एलिज़ाबेथ को लोकलहोस्ट पर शुरू करने के लिए, आपको निम्न कमांड का उपयोग करना चाहिए।
C:\elasticsearch\bin> elasticsearch
एक बार एलिटिक्स खोज तैयार होने के बाद, आप इसे अपने ब्राउज़र में निम्न URL लिखकर जाँच सकते हैं।
http://localhost:9200/
प्रतिक्रिया
निम्नलिखित कोड ब्लॉक में एलिजाबेथ की प्रतिक्रिया को स्थानीयहोस्ट में दिखाया गया है।
{
"name" : "Doctor Dorcas",
"cluster_name" : "elasticsearch",
"version" : {
"number" : "2.1.1",
"build_hash" : "40e2c53a6b6c2972b3d13846e450e66f4375bd71",
"build_timestamp" : "2015-12-15T13:05:55Z",
"build_snapshot" : false,
"lucene_version" : "5.3.1"
},
"tagline" : "You Know, for Search"
}
Note - इलास्टिक्स खोज के बारे में अधिक जानकारी के लिए, आप निम्न लिंक पर क्लिक कर सकते हैं।
https://www.tutorialspoint.com/elasticsearch/index.html
अब, उपर्युक्त Logstash.conf के साथ लॉगस्टैश चलाएं
>Logstash –f Logstash.conf
उपर्युक्त पाठ को आउटपुट लॉग में चिपकाने के बाद, उस पाठ को लॉस्टश द्वारा एलिस्टिक्स में संग्रहीत किया जाएगा। आप ब्राउज़र में निम्न URL टाइप करके संग्रहीत डेटा की जांच कर सकते हैं।
http://localhost:9200/logstash-2017.01.01/_search?pretty
प्रतिक्रिया
यह JSON प्रारूप में डेटा है जो कि Logstash-2017.01.01 सूचकांक में संग्रहीत है।
{
"took" : 20,
"timed_out" : false,
"_shards" : {
"total" : 5,
"successful" : 5,
"failed" : 0
},
"hits" : {
"total" : 10,
"max_score" : 1.0,
"hits" : [ {
"_index" : "logstash-2017.01.01",
"_type" : "logs",
"_id" : "AVlZ9vF8hshdrGm02KOs",
"_score" : 1.0,
"_source":{
"duration":200,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2017-01-01T12:17:49.140Z","loglevel":"INFO",
"logger":"SQL","@version":"1","host":"wcnlab-PC",
"label":"transaction1",
"message":" INFO - 48566 - SQL - transaction1 - 200\r",
"user":"tutorialspoint.com","taskid":"48566","tags":[]
}
},
{
"_index" : "logstash-2017.01.01",
"_type" : "logs",
"_id" : "AVlZ9vF8hshdrGm02KOt",
"_score" : 1.0,
"_source":{
"sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
"@timestamp":"2017-01-01T12:17:49.145Z","loglevel":"INFO",
"logger":"TRANSACTION_END","@version":"1","host":"wcnlab-PC",
"label":"end",
"message":" INFO - 48566 - TRANSACTION_END - end\r",
"user":"tutorialspoint.com","taskid":"48566","tags":[]
}
}
}
}
लॉगस्टैश विभिन्न डेटा स्टोर या खोज इंजन का समर्थन करने के लिए कई प्लगइन्स प्रदान करता है। लॉग की आउटपुट घटनाओं को आउटपुट फ़ाइल, मानक आउटपुट या एलिटिक्स खोज जैसे खोज इंजन में भेजा जा सकता है। लॉगस्टैश में तीन प्रकार के समर्थित आउटपुट हैं, जो हैं -
- मानक आउटपुट
- फ़ाइल आउटपुट
- अशक्त उत्पादन
आइए अब हम इनमें से प्रत्येक के बारे में विस्तार से चर्चा करें।
मानक आउटपुट (स्टडआउट)
इसका उपयोग फ़िल्टर किए गए लॉग ईवेंट को कमांड लाइन इंटरफ़ेस पर डेटा स्ट्रीम के रूप में उत्पन्न करने के लिए किया जाता है। यहां एक डेटाबेस लेनदेन की कुल अवधि को स्टडआउट करने के लिए उत्पन्न करने का एक उदाहरण है।
logstash.conf
इस config फ़ाइल में मानक sql_duration को मानक आउटपुट में लिखने के लिए एक stdout आउटपुट प्लगइन होता है।
input {
file {
path => "C:/tpwork/logstash/bin/log/input.log"
}
}
filter {
grok {
match => [
"message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid}
- %{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?"
]
}
if [logger] == "TRANSACTION_START" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] = 0"
map_action => "create"
}
}
if [logger] == "SQL" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] ||= 0 ;
map['sql_duration'] += event.get('duration')"
}
}
if [logger] == "TRANSACTION_END" {
aggregate {
task_id => "%{taskid}"
code => "event.set('sql_duration', map['sql_duration'])"
end_of_task => true
timeout => 120
}
}
}
output {
if [logger] == "TRANSACTION_END" {
stdout {
codec => line{format => "%{sql_duration}"}
}
}
}
Note - पहले से स्थापित नहीं है, तो कुल फिल्टर स्थापित करें।
>logstash-plugin install Logstash-filter-aggregate
लॉगस्टैश चलाएं
हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।
>logstash –f logsatsh.conf
Input.log
निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।
INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END – end
stdout (यह UNIX में विंडो या टर्मिनल में कमांड प्रॉम्प्ट होगा)
यह कुल sql_duration 320 + 200 = 520 है।
520
फ़ाइल आउटपुट
लॉगस्टैश फ़िल्टर लॉग ईवेंट को आउटपुट फ़ाइल में संग्रहीत कर सकता है। हम उपर्युक्त उदाहरण का उपयोग करेंगे और आउटपुट को STDOUT के बजाय किसी फ़ाइल में संग्रहीत करेंगे।
logstash.conf
यह Logstash config फाइल लॉग करता है, कुल sql_duration को आउटपुट लॉग फ़ाइल में संग्रहीत करने के लिए।
input {
file {
path => "C:/tpwork/logstash/bin/log/input1.log"
}
}
filter {
grok {
match => [
"message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid} -
%{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?"
]
}
if [logger] == "TRANSACTION_START" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] = 0"
map_action => "create"
}
}
if [logger] == "SQL" {
aggregate {
task_id => "%{taskid}"
code => "map['sql_duration'] ||= 0 ;
map['sql_duration'] += event.get('duration')"
}
}
if [logger] == "TRANSACTION_END" {
aggregate {
task_id => "%{taskid}"
code => "event.set('sql_duration', map['sql_duration'])"
end_of_task => true
timeout => 120
}
}
}
output {
if [logger] == "TRANSACTION_END" {
file {
path => "C:/tpwork/logstash/bin/log/output.log"
codec => line{format => "%{sql_duration}"}
}
}
}
लॉगस्टैश चलाएं
हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।
>logstash –f logsatsh.conf
input.log
निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।
INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END – end
output.log
निम्न कोड ब्लॉक आउटपुट लॉग डेटा दिखाता है।
520
अशक्त उत्पादन
यह एक विशेष आउटपुट प्लगइन है, जिसका उपयोग इनपुट और फ़िल्टर प्लगइन्स के प्रदर्शन का विश्लेषण करने के लिए किया जाता है।
Logstash अपनी पाइपलाइन (इनपुट, फ़िल्टर और आउटपुट) के सभी तीन चरणों के लिए विभिन्न प्लगइन्स प्रदान करता है। ये प्लग-इन उपयोगकर्ता को विभिन्न स्रोतों जैसे वेब सर्वर, डेटाबेस, ओवर नेटवर्क प्रोटोकॉल आदि से लॉग कैप्चर करने में मदद करते हैं।
कैप्चर करने के बाद, लॉगस्टैश डेटा को उपयोगकर्ता द्वारा आवश्यकतानुसार सार्थक जानकारी में बदल सकता है। अंत में, लॉगस्टैश विभिन्न गंतव्य स्रोतों जैसे कि एलीस्टेकर्च, एडब्ल्यूएस क्लाउडवॉच आदि के लिए उस सार्थक जानकारी को भेज या संग्रहीत कर सकता है।
इनपुट प्लगइन्स
लॉगस्टैश में इनपुट प्लगइन्स उपयोगकर्ता को विभिन्न स्रोतों से लॉग निकालने और प्राप्त करने में मदद करता है। इनपुट प्लगइन का उपयोग करने के लिए सिंटैक्स निम्नानुसार है -
Input {
Plugin name {
Setting 1……
Setting 2……..
}
}
आप निम्न कमांड का उपयोग करके इनपुट प्लगइन डाउनलोड कर सकते हैं -
>Logstash-plugin install Logstash-input-<plugin name>
Logstash- प्लगइन उपयोगिता में मौजूद है bin folderलॉगस्टैश इंस्टॉलेशन डायरेक्टरी। निम्न तालिका में लॉगस्टैश द्वारा प्रस्तावित इनपुट प्लगइन्स की एक सूची है।
अनु क्रमांक। | प्लगइन नाम और विवरण |
---|---|
1 | beats लोचदार बीट्स ढांचे से लॉगिंग डेटा या घटनाओं को प्राप्त करने के लिए। |
2 | cloudwatch क्लाउडवेच से घटनाओं को निकालने के लिए, अमेज़ॅन वेब सेवाओं द्वारा एक एपीआई प्रस्ताव। |
3 | couchdb_changes इस प्लगइन का उपयोग करके couchdb के _chages URI के ईवेंट। |
4 | drupal_dblog सक्षम DBLog के साथ ड्रुपल के वॉचडॉग लॉगिंग डेटा को निकालने के लिए। |
5 | Elasticsearch इलास्टिसर्च क्लस्टर में किए गए प्रश्नों के परिणामों को प्राप्त करने के लिए। |
6 | eventlog विंडोज़ इवेंट लॉग से घटनाओं को प्राप्त करने के लिए। |
7 | exec लॉगस्टैश में इनपुट के रूप में शेल कमांड आउटपुट प्राप्त करने के लिए। |
8 | file इनपुट फ़ाइल से घटनाओं को प्राप्त करने के लिए। यह तब उपयोगी होता है, जब लॉगस्टैश स्थानीय रूप से इनपुट स्रोत के साथ स्थापित होता है और इनपुट स्रोत लॉग तक पहुंच रखता है। |
9 | generator इसका उपयोग परीक्षण उद्देश्यों के लिए किया जाता है, जो यादृच्छिक घटनाओं को बनाता है। |
10 | github GitHub webhook की घटनाओं को दर्शाता है। |
1 1 | graphite ग्रेफाइट मॉनिटरिंग टूल से मेट्रिक्स डेटा प्राप्त करने के लिए। |
12 | heartbeat इसका उपयोग परीक्षण के लिए भी किया जाता है और यह घटनाओं की तरह दिल की धड़कन पैदा करता है |
13 | http दो नेटवर्क प्रोटोकॉल और उन http और https पर लॉग ईवेंट को इकट्ठा करने के लिए। |
14 | http_poller यह एक घटना के लिए HTTP एपीआई आउटपुट को डीकोड करने के लिए उपयोग किया जाता है। |
15 | jdbc यह JDBC लेनदेन को Logstash में एक ईवेंट में कनवर्ट करता है। |
16 | jmx JMX का उपयोग करके दूरस्थ जावा अनुप्रयोगों से मैट्रिक्स निकालना। |
17 | log4j TCP सॉकेट पर Log4j के सॉकेटऐपेंडर ऑब्जेक्ट से ईवेंट कैप्चर करें। |
18 | rss लॉगस्टैश में इनपुट इवेंट के रूप में कमांड लाइन टूल्स के आउटपुट के लिए। |
19 | tcp टीसीपी सॉकेट पर घटनाओं को कैप्चर करता है। |
20 | ट्विटर स्ट्रीमिंग एपीआई से घटनाओं को ले लीजिए। |
21 | unix UNIX सॉकेट पर ईवेंट एकत्र करें। |
22 | websocket वेबसोकेट प्रोटोकॉल पर ईवेंट कैप्चर करें। |
23 | xmpp Jabber / xmpp प्रोटोकॉल पर ईवेंट पढ़ता है। |
प्लगइन सेटिंग्स
सभी प्लगइन्स की अपनी विशिष्ट सेटिंग्स हैं, जो एक प्लगइन में पोर्ट, पथ, आदि जैसे महत्वपूर्ण क्षेत्रों को निर्दिष्ट करने में मदद करता है। हम कुछ इनपुट प्लगइन्स की सेटिंग्स पर चर्चा करेंगे।
फ़ाइल
इस इनपुट प्लगइन का उपयोग इनपुट स्रोत में मौजूद लॉग या टेक्स्ट फ़ाइलों से घटनाओं को सीधे निकालने के लिए किया जाता है। यह UNIX में टेल कमांड के समान काम करता है और अंतिम रीड कर्सर को बचाने और इनपुट फ़ाइल से केवल नए एपेंडेड डेटा को पढ़ता है, लेकिन इसे star_position सेटिंग का उपयोग करके बदला जा सकता है। इस इनपुट प्लगइन की सेटिंग्स निम्नलिखित हैं।
नाम सेट करना | डिफ़ॉल्ट मान | विवरण |
---|---|---|
क्षेत्र जोड़ें | {} | इनपुट घटना के लिए एक नया क्षेत्र जोड़ें। |
close_older | 3600 | इस प्लगइन में निर्दिष्ट से अधिक आखिरी बार (सेकंड में) पढ़ने वाली फाइलें बंद हो गई हैं। |
कोडेक | "सादे" | इसका उपयोग लॉगस्टैश पाइपलाइन में प्रवेश करने से पहले डेटा को डीकोड करने के लिए किया जाता है। |
सीमांकक | "\ N" | इसका उपयोग एक नई रेखा परिसीमन को निर्दिष्ट करने के लिए किया जाता है। |
discover_interval | 15 | यह निर्दिष्ट पथ में नई फ़ाइलों की खोज के बीच का समय अंतराल (सेकंड में) है। |
enable_metric | सच | इसका उपयोग निर्दिष्ट प्लगइन के लिए मीट्रिक के रिपोर्टिंग और संग्रह को सक्षम या अक्षम करने के लिए किया जाता है। |
निकालना | इसका उपयोग फ़ाइल नाम या पैटर्न को निर्दिष्ट करने के लिए किया जाता है, जिसे इनपुट प्लगइन से बाहर रखा जाना चाहिए। | |
ईद | उस प्लगइन उदाहरण के लिए एक विशिष्ट पहचान निर्दिष्ट करने के लिए। | |
max_open_files | यह किसी भी समय लॉगस्टैश द्वारा इनपुट फ़ाइलों की अधिकतम संख्या को निर्दिष्ट करता है। | |
पथ | फ़ाइलों का पथ निर्दिष्ट करें और इसमें फ़ाइल नाम के पैटर्न हो सकते हैं। | |
शुरुआत की स्थिति | "समाप्त" | यदि आप चाहते हैं कि आप "शुरुआत" में बदल सकते हैं; शुरू में लॉगस्टैश को शुरू से ही फाइलों को पढ़ना शुरू करना चाहिए न कि केवल नए लॉग इवेंट को। |
start_interval | 1 | यह सेकंड में समय अंतराल को निर्दिष्ट करता है, जिसके बाद लॉगस्टैश संशोधित फ़ाइलों की जांच करता है। |
टैग | लॉगस्टैश जैसी किसी भी अतिरिक्त जानकारी को जोड़ने के लिए, यह टैग्स में "_grokparsefailure" जोड़ता है, जब कोई लॉग इवेंट निर्दिष्ट ग्रॉक फिल्टर का पालन करने में विफल रहा। | |
प्रकार | यह एक विशेष क्षेत्र है, जिसे आप एक इनपुट इवेंट में जोड़ सकते हैं और यह फिल्टर और किबाना में उपयोगी है। |
Elasticsearch
इस विशेष प्लगइन का उपयोग एलिटिक्सखोज क्लस्टर में खोज क्वेरी के परिणामों को पढ़ने के लिए किया जाता है। इस प्लगइन में निम्नलिखित सेटिंग्स का उपयोग किया गया है -
नाम सेट करना | डिफ़ॉल्ट मान | विवरण |
---|---|---|
क्षेत्र जोड़ें | {} | फ़ाइल प्लगइन के समान ही, इसका उपयोग इनपुट ईवेंट में फ़ील्ड को जोड़ने के लिए किया जाता है। |
ca_file | इसका उपयोग SSL प्रमाणपत्र प्राधिकरण फ़ाइल का पथ निर्दिष्ट करने के लिए किया जाता है। | |
कोडेक | "सादे" | इसका उपयोग लॉगस्टैश पाइपलाइन में प्रवेश करने से पहले एलिटिक्स खोज से इनपुट घटनाओं को डीकोड करने के लिए किया जाता है। |
docinfo | "असत्य" | आप इसे सच में बदल सकते हैं, यदि आप एलाटिस खोज इंजन से इंडेक्स, टाइप और आईडी जैसी अतिरिक्त जानकारी निकालना चाहते हैं। |
docinfo_fields | ["_index", "_type", "_id"] | आप किसी भी क्षेत्र को समाप्त कर सकते हैं, जिसे आप अपने लॉगस्टैश इनपुट में नहीं चाहते हैं। |
enable_metric | सच | इसका उपयोग उस प्लगइन उदाहरण के लिए मीट्रिक की रिपोर्टिंग और संग्रह को सक्षम या अक्षम करने के लिए किया जाता है। |
मेजबान | इसका उपयोग सभी इलास्टिक्स खोज इंजन के पते को निर्दिष्ट करने के लिए किया जाता है, जो उस लॉगस्टैश उदाहरण का इनपुट स्रोत होगा। सिंटैक्स होस्ट है: पोर्ट या IP: पोर्ट। | |
ईद | इसका उपयोग उस विशिष्ट इनपुट प्लगइन उदाहरण को एक विशिष्ट पहचान संख्या देने के लिए किया जाता है। | |
सूची | "Logstash- *" | इसका उपयोग इंडेक्स नाम या एक पैटर्न को निर्दिष्ट करने के लिए किया जाता है, जो लॉगस्टैश इनपुट के लिए लॉगस्टैश द्वारा मॉनिटर करेगा। |
कुंजिका | प्रमाणीकरण प्रयोजनों के लिए। | |
सवाल | "{\" सॉर्ट \ ": [\" _ doc \ "]}" | निष्पादन के लिए क्वेरी। |
एसएसएल | असत्य | सुरक्षित सॉकेट लेयर को सक्षम या अक्षम करें। |
टैग | इनपुट घटनाओं में कोई अतिरिक्त जानकारी जोड़ने के लिए। | |
प्रकार | इसका उपयोग इनपुट रूपों को वर्गीकृत करने के लिए किया जाता है ताकि बाद के चरणों में सभी इनपुट घटनाओं को खोजना आसान हो जाए। | |
उपयोगकर्ता | प्रामाणिक उद्देश्यों के लिए। |
इवेंट लोग
यह इनपुट प्लगइन विंडोज़ सर्वर के win32 एपीआई से डेटा पढ़ता है। अनुगमन इस प्लगइन की सेटिंग्स हैं -
नाम सेट करना | डिफ़ॉल्ट मान | विवरण |
---|---|---|
क्षेत्र जोड़ें | {} | फ़ाइल प्लगइन के समान ही, इसका उपयोग इनपुट ईवेंट में फ़ील्ड को जोड़ने के लिए किया जाता है |
कोडेक | "सादे" | इसका उपयोग विंडोज़ से इनपुट घटनाओं को डीकोड करने के लिए किया जाता है; Logstash पाइपलाइन में प्रवेश करने से पहले |
लॉग फ़ाइल | ["एप्लीकेशन", "सुरक्षा", "सिस्टम"] | इनपुट लॉग फ़ाइल में आवश्यक ईवेंट |
मध्यान्तर | 1000 | यह मिलीसेकंड में है और नए ईवेंट लॉग की लगातार दो जांचों के बीच के अंतराल को परिभाषित करता है |
टैग | इनपुट घटनाओं में कोई अतिरिक्त जानकारी जोड़ने के लिए | |
प्रकार | इसका उपयोग इनपुट फॉर्म को दिए गए प्रकार के लिए एक विशिष्ट प्लगइन्स को वर्गीकृत करने के लिए किया जाता है, ताकि बाद के चरणों में सभी इनपुट घटनाओं को खोजना आसान हो जाए |
ट्विटर
इस इनपुट प्लगइन का उपयोग इसके स्ट्रीमिंग एपीआई से ट्विटर के फीड को इकट्ठा करने के लिए किया जाता है। निम्न तालिका इस प्लगइन की सेटिंग्स का वर्णन करती है।
नाम सेट करना | डिफ़ॉल्ट मान | विवरण |
---|---|---|
क्षेत्र जोड़ें | {} | फ़ाइल प्लगइन के समान ही, इसका उपयोग इनपुट ईवेंट में फ़ील्ड को जोड़ने के लिए किया जाता है |
कोडेक | "सादे" | इसका उपयोग विंडोज़ से इनपुट घटनाओं को डीकोड करने के लिए किया जाता है; Logstash पाइपलाइन में प्रवेश करने से पहले |
उपभोक्ता कुंजी | इसमें ट्विटर ऐप की उपभोक्ता कुंजी है। अधिक जानकारी के लिए, पर जाएँhttps://dev.twitter.com/apps/new | |
consumer_secret | इसमें ट्विटर ऐप की उपभोक्ता गुप्त कुंजी शामिल है। अधिक जानकारी के लिए, पर जाएँhttps://dev.twitter.com/apps/new | |
enable_metric | सच | इसका उपयोग उस प्लगइन उदाहरण के लिए मीट्रिक की रिपोर्टिंग और संग्रह को सक्षम या अक्षम करने के लिए किया जाता है |
इस प्रकार | यह अल्पविराम द्वारा अलग की गई उपयोगकर्ता आईडी को निर्दिष्ट करता है और लॉगस्टैश ट्विटर में इन उपयोगकर्ताओं की स्थिति की जांच करता है। अधिक जानकारी के लिए, पर जाएँ https://dev.twitter.com |
|
full_tweet | असत्य | आप इसे सही में बदल सकते हैं, यदि आप चाहते हैं कि लॉगस्टैश ट्विटर एपीआई से पूरी वस्तु वापसी पढ़ें |
ईद | इसका उपयोग उस विशिष्ट इनपुट प्लगइन उदाहरण को एक विशिष्ट पहचान संख्या देने के लिए किया जाता है | |
ignore_retweets | असत्य | आप इनपुट ट्विटर फ़ीड में रीट्वीट को अनदेखा करने के लिए इसे सच में बदल सकते हैं |
कीवर्ड | यह कीवर्ड की एक सरणी है, जिसे ट्विटर्स इनपुट फीड में ट्रैक करने की आवश्यकता है | |
भाषा: हिन्दी | यह इनपुट ट्विटर फीड से LogStash द्वारा आवश्यक ट्वीट्स की भाषा को परिभाषित करता है। यह पहचानकर्ता की एक सरणी है, जो ट्विटर में एक विशिष्ट भाषा को परिभाषित करता है | |
स्थानों | निर्दिष्ट स्थान के अनुसार इनपुट फ़ीड से ट्वीट्स को फ़िल्टर करने के लिए। यह एक सरणी है, जिसमें स्थान का देशांतर और अक्षांश होता है | |
oauth_token | यह एक आवश्यक फ़ाइल है, जिसमें उपयोगकर्ता ओउथ टोकन शामिल है। अधिक जानकारी के लिए कृपया निम्न लिंक पर जाएँhttps://dev.twitter.com/apps | |
oauth_token_secret | यह एक आवश्यक फ़ाइल है, जिसमें उपयोगकर्ता ओउथ गुप्त टोकन शामिल है। अधिक जानकारी के लिए कृपया निम्न लिंक पर जाएँhttps://dev.twitter.com/apps | |
टैग | इनपुट घटनाओं में कोई अतिरिक्त जानकारी जोड़ने के लिए | |
प्रकार | इसका उपयोग इनपुट फॉर्म को दिए गए प्रकार के लिए एक विशिष्ट प्लगइन्स को वर्गीकृत करने के लिए किया जाता है, ताकि बाद के चरणों में सभी इनपुट घटनाओं को खोजना आसान हो जाए |
टीसीपी
टीसीपी का उपयोग टीसीपी सॉकेट पर घटनाओं को प्राप्त करने के लिए किया जाता है; यह उपयोगकर्ता कनेक्शन या सर्वर से पढ़ सकता है, जो मोड सेटिंग में निर्दिष्ट है। निम्न तालिका इस प्लगइन की सेटिंग्स का वर्णन करती है -
नाम सेट करना | डिफ़ॉल्ट मान | विवरण |
---|---|---|
क्षेत्र जोड़ें | {} | फ़ाइल प्लगइन के समान ही, इसका उपयोग इनपुट ईवेंट में फ़ील्ड को जोड़ने के लिए किया जाता है |
कोडेक | "सादे" | इसका उपयोग विंडोज़ से इनपुट घटनाओं को डीकोड करने के लिए किया जाता है; Logstash पाइपलाइन में प्रवेश करने से पहले |
enable_metric | सच | इसका उपयोग उस प्लगइन उदाहरण के लिए मीट्रिक की रिपोर्टिंग और संग्रह को सक्षम या अक्षम करने के लिए किया जाता है |
मेज़बान | "0.0.0.0" | क्लाइंट का सर्वर OS का पता निर्भर करता है |
ईद | इसमें ट्विटर ऐप की उपभोक्ता कुंजी है | |
मोड | "सर्वर" | इसका उपयोग इनपुट स्रोत सर्वर या क्लाइंट को निर्दिष्ट करने के लिए किया जाता है। |
बंदरगाह | यह पोर्ट नंबर को परिभाषित करता है | |
SSL_CERT | इसका उपयोग SSL प्रमाणपत्र के पथ को निर्दिष्ट करने के लिए किया जाता है | |
ssl_enable | असत्य | SSL सक्षम या अक्षम करें |
ssl_key | SSL कुंजी फ़ाइल का पथ निर्दिष्ट करने के लिए | |
टैग | इनपुट घटनाओं में कोई अतिरिक्त जानकारी जोड़ने के लिए | |
प्रकार | इसका उपयोग इनपुट फॉर्म को दिए गए प्रकार के लिए एक विशिष्ट प्लगइन्स को वर्गीकृत करने के लिए किया जाता है, ताकि बाद के चरणों में सभी इनपुट घटनाओं को खोजना आसान हो जाए |
लॉगस्टैश - आउटपुट प्लगइन्स
लॉगस्टैश विभिन्न आउटपुट स्रोतों और विभिन्न तकनीकों जैसे डेटाबेस, फाइल, ईमेल, स्टैंडर्ड आउटपुट आदि का समर्थन करता है।
आउटपुट प्लग इन का उपयोग करने का सिंटैक्स इस प्रकार है -
output {
Plugin name {
Setting 1……
Setting 2……..
}
}
आप निम्न कमांड का उपयोग करके आउटपुट प्लगइन डाउनलोड कर सकते हैं -
>logstash-plugin install logstash-output-<plugin name>
Logstash-plugin utilityLogstash संस्थापन निर्देशिका के बिन फ़ोल्डर में मौजूद है। निम्न तालिका लॉगस्टैश द्वारा प्रस्तुत आउटपुट प्लगइन्स का वर्णन करती है।
अनु क्रमांक। | प्लगइन का नाम और विवरण |
---|---|
1 | CloudWatch इस प्लगइन का उपयोग अमेज़ॅन वेब सेवाओं के क्लाउडवॉच में एकत्रित मीट्रिक डेटा भेजने के लिए किया जाता है। |
2 | csv इसका उपयोग आउटपुट घटनाओं को अल्पविराम से अलग तरीके से लिखने के लिए किया जाता है। |
3 | Elasticsearch इसका उपयोग एलास्टिसर्च इंडेक्स में आउटपुट लॉग को स्टोर करने के लिए किया जाता है। |
4 | इसका उपयोग अधिसूचना ईमेल भेजने के लिए किया जाता है, जब आउटपुट उत्पन्न होता है। उपयोगकर्ता ईमेल में आउटपुट के बारे में जानकारी जोड़ सकता है। |
5 | exec इसका उपयोग कमांड चलाने के लिए किया जाता है, जो आउटपुट इवेंट से मेल खाता है। |
6 | ganglia यह मेट्रिक्स को गंगिला के गोंड तक पहुंचाता है। |
7 | gelf इसका उपयोग GELF प्रारूप में ग्रेलाग 2 के लिए उत्पादन करने के लिए किया जाता है। |
8 | google_bigquery यह घटनाओं को Google BigQuery के लिए आउटपुट करता है। |
9 | google_cloud_storage यह Google क्लाउड स्टोरेज में आउटपुट इवेंट को स्टोर करता है। |
10 | graphite इसका उपयोग आउटपुट इवेंट्स को ग्रेफाइट में संग्रहीत करने के लिए किया जाता है। |
1 1 | graphtastic इसका उपयोग विंडोज पर आउटपुट मीट्रिक लिखने के लिए किया जाता है। |
12 | hipchat इसका उपयोग आउटपुट लॉग ईवेंट्स को HipChat में संग्रहीत करने के लिए किया जाता है। |
13 | http इसका उपयोग आउटपुट लॉग इवेंट्स को http या https एंडपॉइंट्स पर भेजने के लिए किया जाता है। |
14 | influxdb इसका उपयोग InfluxDB में आउटपुट इवेंट को संग्रहीत करने के लिए किया जाता है। |
15 | irc इसका उपयोग आउटपुट इवेंट्स को irc पर लिखने के लिए किया जाता है। |
16 | mongodb यह MongoDB में आउटपुट डेटा संग्रहीत करता है। |
17 | nagios इसका उपयोग नागों को निष्क्रिय चेक परिणामों के साथ सूचित करने के लिए किया जाता है। |
18 | nagios_nsca यह NSCA प्रोटोकॉल पर निष्क्रिय जांच परिणामों के साथ नागियोस को सूचित करने के लिए उपयोग किया जाता है। |
19 | opentsdb यह लॉगस्टैश आउटपुट इवेंट्स को OpenTSDB में संग्रहीत करता है। |
20 | pipe यह आउटपुट ईवेंट को किसी अन्य प्रोग्राम के मानक इनपुट में स्ट्रीम करता है। |
21 | rackspace इसका उपयोग Rackspace Cloud की क्यू सर्विस को आउटपुट लॉग इवेंट भेजने के लिए किया जाता है। |
22 | redis यह आउटपुट लॉगिंग डेटा को Redis कतार में भेजने के लिए rpush कमांड का उपयोग करता है। |
23 | riak इसका उपयोग आउटपुट इवेंट्स को Riak वितरित कुंजी / मान युग्म में संग्रहीत करने के लिए किया जाता है। |
24 | s3 यह अमेज़ॅन सिंपल स्टोरेज सर्विस को आउटपुट लॉगिंग डेटा संग्रहीत करता है। |
25 | sns इसका उपयोग अमेजन की सिंपल नोटिफिकेशन सर्विस को आउटपुट इवेंट भेजने के लिए किया जाता है। |
26 | solr_http यह सोल में आउटपुट लॉगिंग डेटा को अनुक्रमित और संग्रहीत करता है। |
27 | sps इसका उपयोग एडब्ल्यूएस की सरल कतार सेवा में घटनाओं को शिप करने के लिए किया जाता है। |
28 | statsd इसका उपयोग मेट्रिक्स डेटा को स्टैटसड नेटवर्क डेमन में शिप करने के लिए किया जाता है। |
29 | stdout इसका उपयोग कमांड प्रॉम्प्ट जैसे सीएलआई के मानक आउटपुट पर आउटपुट घटनाओं को दिखाने के लिए किया जाता है। |
30 | syslog इसका उपयोग आउटपुट इवेंट को syslog सर्वर पर शिप करने के लिए किया जाता है। |
31 | tcp इसका उपयोग उत्पादन घटनाओं को टीसीपी सॉकेट में भेजने के लिए किया जाता है। |
32 | udp इसका उपयोग UDP पर आउटपुट ईवेंट को पुश करने के लिए किया जाता है। |
33 | websocket इसका उपयोग WebSocket प्रोटोकॉल पर आउटपुट ईवेंट को पुश करने के लिए किया जाता है। |
34 | xmpp इसका उपयोग XMPP प्रोटोकॉल पर आउटपुट इवेंट को पुश करने के लिए किया जाता है। |
सभी प्लगइन्स की अपनी विशिष्ट सेटिंग्स हैं, जो एक प्लगइन में पोर्ट, पथ, आदि जैसे महत्वपूर्ण क्षेत्रों को निर्दिष्ट करने में मदद करता है। हम कुछ आउटपुट प्लगइन्स की सेटिंग्स पर चर्चा करेंगे।
Elasticsearch
एलिस्टिक्स खोज आउटपुट प्लगइन एलिस्टिक्स खोज इंजन के विशिष्ट समूहों में आउटपुट को स्टोर करने में सक्षम बनाता है। यह उपयोगकर्ताओं के प्रसिद्ध विकल्पों में से एक है क्योंकि यह ELK Stack के पैकेज में आता है और इसलिए, Devops को एंड-टू-एंड समाधान प्रदान करता है। निम्न तालिका इस आउटपुट प्लगइन की सेटिंग्स का वर्णन करती है।
नाम सेट करना | डिफ़ॉल्ट मान | विवरण |
---|---|---|
कार्य | सूची | इसका उपयोग एलिस्टिक्स खोज इंजन में की गई क्रिया को परिभाषित करने के लिए किया जाता है। इस सेटिंग के अन्य मान हटाए जाते हैं, बनाते हैं, अपडेट करते हैं, आदि। |
cacert | इसमें सर्वर के प्रमाणपत्र सत्यापन के लिए .cer या .pem के साथ फ़ाइल का पथ है। | |
कोडेक | "सादे" | इसे गंतव्य स्रोत पर भेजने से पहले आउटपुट लॉगिंग डेटा को एनकोड करने के लिए उपयोग किया जाता है। |
doc_as_upset | असत्य | यह सेटिंग अद्यतन कार्रवाई के मामले में उपयोग की जाती है। यह Elasticsearch इंजन में एक दस्तावेज़ बनाता है, यदि दस्तावेज़ आईडी आउटपुट प्लगइन में निर्दिष्ट नहीं है। |
दस्तावेज़ का प्रकार | इसका उपयोग उसी प्रकार की घटनाओं को उसी दस्तावेज़ प्रकार में संग्रहीत करने के लिए किया जाता है। यदि यह निर्दिष्ट नहीं है, तो ईवेंट प्रकार उसी के लिए उपयोग किया जाता है। | |
flush_size | 500 | यह Elasticsearch में बल्क अपलोड के प्रदर्शन में सुधार के लिए उपयोग किया जाता है |
मेजबान | [ "127.0.0.1"] | यह आउटपुट लॉगिंग डेटा के लिए गंतव्य पते का एक सरणी है |
idle_flush_time | 1 | यह दो फ्लश के बीच समय सीमा (दूसरा) को परिभाषित करता है, इस सेटिंग में निर्दिष्ट समय सीमा के बाद लॉगस्टैश बलों को फ्लश करता है |
सूची | "Logstash -% {+ YYYY.MM.dd}" | इसका उपयोग एलिस्टिक्स खोज इंजन के सूचकांक को निर्दिष्ट करने के लिए किया जाता है |
manage_temlpate | सच | इसका उपयोग एलिस्टिक्स खोज में डिफ़ॉल्ट टेम्पलेट को लागू करने के लिए किया जाता है |
माता-पिता | शून्य | इसका उपयोग एलिस्टिक्स खोज में मूल दस्तावेज की आईडी को निर्दिष्ट करने के लिए किया जाता है |
कुंजिका | इसका उपयोग एलिस्टिक्स खोज में सुरक्षित क्लस्टर में अनुरोध को प्रमाणित करने के लिए किया जाता है | |
पथ | इसका उपयोग एलिस्टिक्स खोज के HTTP पथ को निर्दिष्ट करने के लिए किया जाता है। | |
पाइपलाइन | शून्य | इसका उपयोग सबसे कम पाइपलाइन को सेट करने के लिए किया जाता है, उपयोगकर्ता किसी घटना के लिए निष्पादित करना चाहता है |
प्रतिनिधि | इसका उपयोग HTTP प्रॉक्सी को निर्दिष्ट करने के लिए किया जाता है | |
retry_initial_interval | 2 | इसका उपयोग बल्क रिट्रीज़ के बीच प्रारंभिक समय अंतराल (सेकंड) को सेट करने के लिए किया जाता है। यह प्रत्येक रिट्री के बाद दोगुना हो जाता है जब तक कि यह रिट्री_मैक्स_इंटरवल तक नहीं पहुंचता |
retry_max_interval | 64 | इसका उपयोग retry_initial_interval के लिए अधिकतम समय अंतराल सेट करने के लिए किया जाता है |
retry_on_conflict | 1 | यह दस्तावेज़ को अपडेट करने के लिए एलीस्टेकर्च द्वारा रिट्रीट की संख्या है |
एसएसएल | SSL / TLS को सक्षम करने या अक्षम करने के लिए Elasticsearch सुरक्षित है | |
टेम्पलेट | इसमें इलास्टिक्स खोज में अनुकूलित टेम्पलेट का पथ शामिल है | |
टेम्पलेट नाम | "Logstash" | इसका उपयोग एलिस्टिक्स खोज में टेम्पलेट को नाम देने के लिए किया जाता है |
समय समाप्त | 60 | यह एलियटसर्च के लिए नेटवर्क अनुरोधों का समय समाप्त हो गया है |
Upsert | "" | यह दस्तावेज़ को अद्यतन करता है या यदि document_id मौजूद नहीं है, तो यह Elasticsearch में एक नया दस्तावेज़ बनाता है |
उपयोगकर्ता | इसमें उपयोगकर्ता को सुरक्षित इलास्टिक्सखोज क्लस्टर में लॉगस्टैश अनुरोध को प्रमाणित करने के लिए है |
ईमेल
लॉगस्टैश आउटपुट उत्पन्न करते समय, उपयोगकर्ता को सूचित करने के लिए ईमेल आउटपुट प्लगइन का उपयोग किया जाता है। निम्न तालिका इस प्लगइन के लिए सेटिंग्स का वर्णन करती है।
नाम सेट करना | डिफ़ॉल्ट मान | विवरण |
---|---|---|
पता | "स्थानीय होस्ट" | यह मेल सर्वर का पता है |
संलग्नक | [] | इसमें संलग्न फाइलों के नाम और स्थान शामिल हैं |
तन | "" | इसमें ईमेल का मुख्य भाग होता है और इसे सादा पाठ होना चाहिए |
सीसी | इसमें ईमेल के सीसी के लिए अल्पविराम से अलग तरीके से ईमेल पते हैं | |
कोडेक | "सादे" | इसे गंतव्य स्रोत पर भेजने से पहले आउटपुट लॉगिंग डेटा को एनकोड करने के लिए उपयोग किया जाता है। |
सामग्री प्रकार | "टेक्स्ट / html; चारसेट = UTF-8" | इसका उपयोग ईमेल के सामग्री-प्रकार के लिए किया जाता है |
डिबग | असत्य | यह डिबग मोड में मेल रिले को निष्पादित करने के लिए उपयोग किया जाता है |
डोमेन | "स्थानीय होस्ट" | इसका उपयोग ईमेल संदेश भेजने के लिए डोमेन सेट करने के लिए किया जाता है |
से | "[email protected]" | इसका उपयोग प्रेषक के ईमेल पते को निर्दिष्ट करने के लिए किया जाता है |
htmlbody | "" | इसका उपयोग ईमेल के शरीर को HTML प्रारूप में निर्दिष्ट करने के लिए किया जाता है |
कुंजिका | इसका उपयोग मेल सर्वर के साथ प्रमाणित करने के लिए किया जाता है | |
बंदरगाह | 25 | यह मेल सर्वर के साथ संवाद करने के लिए पोर्ट को परिभाषित करने के लिए उपयोग किया जाता है |
को उत्तर | इसका उपयोग ईमेल आईडी को ईमेल के उत्तर-क्षेत्र के लिए निर्दिष्ट करने के लिए किया जाता है | |
विषय | "" | इसमें ईमेल की विषय पंक्ति शामिल है |
use_tls | असत्य | मेल सर्वर के साथ संचार के लिए TSL को सक्षम या अक्षम करें |
उपयोगकर्ता नाम | सर्वर के साथ प्रमाणीकरण के लिए उपयोगकर्ता नाम है | |
के जरिए | "Smtp" | यह Logstash द्वारा ईमेल भेजने के तरीकों को परिभाषित करता है |
एचटीटीपी
इस सेटिंग का उपयोग http पर आउटपुट ईवेंट को गंतव्य पर भेजने के लिए किया जाता है। यह प्लगइन निम्नलिखित सेटिंग्स है -
नाम सेट करना | डिफ़ॉल्ट मान | विवरण |
---|---|---|
automatic_retries | 1 | इसका उपयोग logstash द्वारा http रिक्वेस्ट रिट्रीस की संख्या सेट करने के लिए किया जाता है |
cacert | इसमें सर्वर के प्रमाणपत्र सत्यापन के लिए फ़ाइल का पथ शामिल है | |
कोडेक | "सादे" | इसे गंतव्य स्रोत पर भेजने से पहले आउटपुट लॉगिंग डेटा को एनकोड करने के लिए उपयोग किया जाता है। |
सामग्री प्रकार | मैं गंतव्य सर्वर पर http अनुरोध की सामग्री प्रकार निर्दिष्ट करता हूं | |
कुकीज़ | सच | इसका उपयोग कुकीज़ को सक्षम या अक्षम करने के लिए किया जाता है |
प्रारूप | "Json" | इसका उपयोग http अनुरोध बॉडी के प्रारूप को सेट करने के लिए किया जाता है |
हेडर | इसमें http हैडर की जानकारी है | |
http_method | "" | इसका उपयोग लॉगस्टैश द्वारा अनुरोध में उपयोग की जाने वाली http विधि को निर्दिष्ट करने के लिए किया जाता है और मान "पुट", "पोस्ट", "पैच", "डिलीट", "गेट", "हेड" हो सकते हैं। |
ब्रेक का अनुरोध | 60 | इसका उपयोग मेल सर्वर के साथ प्रमाणित करने के लिए किया जाता है |
यूआरएल | Http या https समापन बिंदु निर्दिष्ट करने के लिए इस प्लगइन के लिए एक आवश्यक सेटिंग है |
stdout
कमांड लाइन इंटरफ़ेस के मानक आउटपुट पर आउटपुट घटनाओं को लिखने के लिए स्टडआउट आउटपुट प्लगइन का उपयोग किया जाता है। यह UNIX में विंडोज़ और टर्मिनल में कमांड प्रॉम्प्ट है। इस प्लगइन में निम्नलिखित सेटिंग्स हैं -
नाम सेट करना | डिफ़ॉल्ट मान | विवरण |
---|---|---|
कोडेक | "सादे" | इसे गंतव्य स्रोत पर भेजने से पहले आउटपुट लॉगिंग डेटा को एनकोड करने के लिए उपयोग किया जाता है। |
कर्मी | 1 | इसका उपयोग आउटपुट के लिए श्रमिकों की संख्या निर्दिष्ट करने के लिए किया जाता है |
statsd
यह एक नेटवर्क डेमॉन है जिसका उपयोग यूडीपी पर मैट्रिसेस डेटा को गंतव्य बैकेंड सेवाओं को भेजने के लिए किया जाता है। यह UNIX में विंडोज़ और टर्मिनल में कमांड प्रॉम्प्ट है। यह प्लगइन निम्नलिखित सेटिंग्स है -
नाम सेट करना | डिफ़ॉल्ट मान | विवरण |
---|---|---|
कोडेक | "सादे" | इसे गंतव्य स्रोत पर भेजने से पहले आउटपुट लॉगिंग डेटा को एनकोड करने के लिए उपयोग किया जाता है। |
गिनती | {} | इसका उपयोग मैट्रिक्स में उपयोग की जाने वाली गिनती को परिभाषित करने के लिए किया जाता है |
घटती | [] | इसका उपयोग डिक्रीमेंट मीट्रिक नामों को निर्दिष्ट करने के लिए किया जाता है |
मेज़बान | "स्थानीय होस्ट" | इसमें डेटाड सर्वर का पता होता है |
वेतन वृद्धि | [] | इसका उपयोग वेतन वृद्धि के मीट्रिक नामों को निर्दिष्ट करने के लिए किया जाता है |
बंदरगाह | 8125 | इसमें डेटास् सर्वर का पोर्ट होता है |
नमूना दर | 1 | इसका उपयोग मीट्रिक की नमूना दर को निर्दिष्ट करने के लिए किया जाता है |
प्रेषक | "%{मेज़बान}" | यह प्रेषक का नाम निर्दिष्ट करता है |
सेट | {} | इसका उपयोग सेट मीट्रिक को निर्दिष्ट करने के लिए किया जाता है |
समय | {} | इसका उपयोग टाइमिंग मीट्रिक निर्दिष्ट करने के लिए किया जाता है |
कर्मी | 1 | इसका उपयोग आउटपुट के लिए श्रमिकों की संख्या निर्दिष्ट करने के लिए किया जाता है |
फ़िल्टर प्लगइन्स
लॉगस्टैश विभिन्न फ़िल्टर प्लगइन्स को पार्स करने और इनपुट लॉग को अधिक संरचित और क्वेरी प्रारूप में बदलने का समर्थन करता है।
फ़िल्टर प्लगइन का उपयोग करने का सिंटैक्स इस प्रकार है -
filter {
Plugin name {
Setting 1……
Setting 2……..
}
}
आप निम्न कमांड का उपयोग करके फ़िल्टर प्लगइन डाउनलोड कर सकते हैं -
>logstash-plugin install logstash-filter-<plugin name>
Logstash- प्लगइन उपयोगिता Logstash संस्थापन निर्देशिका के बिन फ़ोल्डर में मौजूद है। निम्न तालिका लॉगस्टैश द्वारा प्रस्तुत आउटपुट प्लगइन्स का वर्णन करती है।
अनु क्रमांक। | प्लगइन का नाम और विवरण |
---|---|
1 | aggregate यह प्लगइन डेटा को एक ही प्रकार के विभिन्न ईवेंट से इकट्ठा या एकत्र करता है और उन्हें अंतिम ईवेंट में संसाधित करता है |
2 | alter यह उपयोगकर्ता को लॉग ईवेंट के क्षेत्र को बदलने की अनुमति देता है, जिसे म्यूट फ़िल्टर नहीं संभालता है |
3 | anonymize इसका उपयोग खेतों के मूल्यों को एक सुसंगत हैश के साथ बदलने के लिए किया जाता है |
4 | cipher गंतव्य स्रोत में उन्हें संग्रहीत करने से पहले आउटपुट घटनाओं को एन्क्रिप्ट करने के लिए इसका उपयोग किया जाता है |
5 | clone इसका उपयोग Logstash में आउटपुट इवेंट के डुप्लिकेट बनाने के लिए किया जाता है |
6 | collate यह घटनाओं को उनके समय या गिनती के अनुसार अलग-अलग लॉग से मर्ज करता है |
7 | csv यह प्लगइन विभाजक के अनुसार इनपुट लॉग से डेटा पार्स करता है |
8 | date यह ईवेंट में फ़ील्ड्स से दिनांक पार्स करता है और सेट करता है कि ईवेंट के लिए टाइमस्टैम्प के रूप में |
9 | dissect यह प्लगइन उपयोगकर्ता को असंरचित डेटा से फ़ील्ड निकालने में मदद करता है और उन्हें सही ढंग से पार्स करने के लिए ग्रॉक फ़िल्टर के लिए आसान बनाता है |
10 | drop इसका उपयोग एक ही प्रकार या किसी अन्य समानता की सभी घटनाओं को छोड़ने के लिए किया जाता है |
1 1 | elapsed इसका उपयोग प्रारंभ और अंत की घटनाओं के बीच के समय की गणना करने के लिए किया जाता है |
12 | Elasticsearch इसका उपयोग एलिस्टिक्सखोज में मौजूद पिछली लॉग ईवेंट के क्षेत्रों को कॉपी करने के लिए किया जाता है, जो लॉगस्टैश में वर्तमान में होता है |
13 | extractnumbers इसका उपयोग लॉग इवेंट में स्ट्रिंग्स से संख्या निकालने के लिए किया जाता है |
14 | geoip यह ईवेंट में एक फ़ील्ड जोड़ता है, जिसमें लॉग इवेंट में मौजूद आईपी के स्थान का अक्षांश और देशांतर होता है |
15 | grok यह खेतों को प्राप्त करने के लिए घटना को पार्स करने के लिए आमतौर पर इस्तेमाल किया जाने वाला फ़िल्टर प्लगइन है |
16 | i18n यह लॉग ईवेंट में दर्ज किए गए विशेष वर्णों को हटा देता है |
17 | json इसका उपयोग घटना में या किसी विशिष्ट क्षेत्र में एक संरचित जोंस ऑब्जेक्ट बनाने के लिए किया जाता है |
18 | kv यह प्लगइन लॉगिंग डेटा में कुंजी मूल्य जोड़े को पार करने में उपयोगी है |
19 | metrics इसका उपयोग प्रत्येक ईवेंट में समय अवधि गिनने जैसे मेट्रिक्स को एकत्रित करने के लिए किया जाता है |
20 | multiline यह आमतौर पर उपयोग किए जाने वाले फ़िल्टर प्लगइन में से एक है, जो किसी एकल इवेंट में मल्टीलाइन लॉगिंग डेटा को परिवर्तित करने के मामले में उपयोगकर्ता की मदद करता है। |
21 | mutate इस प्लगइन का उपयोग आपके ईवेंट में फ़ील्ड का नाम बदलने, हटाने, बदलने और संशोधित करने के लिए किया जाता है |
22 | range यह एक अपेक्षित सीमा और एक सीमा के भीतर स्ट्रिंग की लंबाई के विरुद्ध घटनाओं में संख्यात्मक मानों की जाँच करता था। |
23 | ruby इसका उपयोग मनमाने रूबी कोड को चलाने के लिए किया जाता है |
24 | sleep यह लॉगस्टैश समय की एक निर्दिष्ट राशि के लिए सोता है |
25 | split इसका उपयोग किसी घटना के क्षेत्र को विभाजित करने के लिए और उस घटना के क्लोन में सभी विभाजित मूल्यों को रखने के लिए किया जाता है |
26 | xml इसका उपयोग लॉग में मौजूद XML डेटा को पार करके ईवेंट बनाने के लिए किया जाता है |
कोडेक प्लगइन्स
कोडेक प्लगइन्स इनपुट या आउटपुट प्लगइन्स का एक हिस्सा हो सकता है। इन प्लगइन्स का उपयोग लॉगिंग डेटा प्रस्तुति को बदलने या प्रारूपित करने के लिए किया जाता है। Logstash कई कोडेक प्लगइन्स प्रदान करता है और वे निम्नानुसार हैं -
अनु क्रमांक। | प्लगइन का नाम और विवरण |
---|---|
1 | avro यह प्लगइन एविएट डेटम्स के लिए लॉस्टश ईवेंट्स को क्रमबद्ध करता है और एव्रो रिकॉर्ड्स को लॉस्टश ईवेंट को डिकोड करता है |
2 | cloudfront यह प्लगइन AWS क्लाउडफ्रंट से एन्कोडेड डेटा को पढ़ता है |
3 | cloudtrail इस प्लगइन का उपयोग AWS क्लाउडट्रिल के डेटा को पढ़ने के लिए किया जाता है |
4 | collectd यह बाइनरी प्रोटोकॉल के डेटा को पढ़ता है जिसे यूडीपी पर एकत्र किया जाता है |
5 | compress_spooler इसका उपयोग लॉगस्टैश में लॉग इवेंट्स को स्पूल किए गए बैचों को संपीड़ित करने के लिए किया जाता है |
6 | dots यह हर इवेंट के स्टडआउट के लिए एक बिंदु सेट करके प्रदर्शन ट्रैकिंग का उपयोग किया जाता है |
7 | es_bulk इसका उपयोग Elasticsearch से Elstearch मेटाडेटा सहित Logstash ईवेंट में बल्क डेटा को कनवर्ट करने के लिए किया जाता है |
8 | graphite यह कोडेक ग्रेफाइट से डेटा को घटनाओं में पढ़ता है और घटना को ग्रेफाइट के स्वरूपित रिकॉर्ड में बदल देता है |
9 | gzip_lines इस प्लगइन का उपयोग gzip एन्कोडेड डेटा को संभालने के लिए किया जाता है |
10 | json इसका उपयोग Json सरणी में एक एकल तत्व को एक Logstash इवेंट में परिवर्तित करने के लिए किया जाता है |
1 1 | json_lines इसका उपयोग Newline delimiter के साथ Json डेटा को संभालने के लिए किया जाता है |
12 | line यह प्लगइन एक ही लाइव में ईवेंट को पढ़ और लिख देगा, इसका मतलब है कि न्यूलाइन सीमांकक के बाद एक नया ईवेंट होगा |
13 | multiline इसका उपयोग मल्टीलाइन लॉगिंग डेटा को एक घटना में बदलने के लिए किया जाता है |
14 | netflow इस plugin का उपयोग nertflow v5 / v9 data को logstash घटनाओं में बदलने के लिए किया जाता है |
15 | nmap यह एक XML प्रारूप में nmap परिणाम डेटा को पार्स करता है |
16 | plain यह बिना सीमांक के पाठ को पढ़ता है |
17 | rubydebug यह प्लगइन आउटपुट लॉगस्टैश घटनाओं को रूबी भयानक प्रिंट लाइब्रेरी का उपयोग करके लिखेगा |
अपनी खुद की प्लगइन बनाएँ
आप लॉगस्टैश में अपने खुद के प्लगइन्स भी बना सकते हैं, जो आपकी आवश्यकताओं को पूरा करता है। लॉगस्टैश-प्लगइन उपयोगिता का उपयोग कस्टम प्लगइन्स बनाने के लिए किया जाता है। यहां, हम एक फिल्टर प्लगइन बनाएंगे, जो घटनाओं में एक कस्टम संदेश जोड़ देगा।
आधार संरचना उत्पन्न करें
एक उपयोगकर्ता लॉगस्टैश-प्लगइन उपयोगिता के जेनरेट विकल्प का उपयोग करके आवश्यक फाइलें उत्पन्न कर सकता है या यह GitHub पर भी उपलब्ध है।
>logstash-plugin generate --type filter --name myfilter --path c:/tpwork/logstash/lib
यहाँ, typeविकल्प का उपयोग प्लगइन निर्दिष्ट करने के लिए किया जाता है या तो इनपुट, आउटपुट या फ़िल्टर। इस उदाहरण में, हम नाम से एक फ़िल्टर प्लगइन बना रहे हैंmyfilter। पथ विकल्प का उपयोग पथ को निर्दिष्ट करने के लिए किया जाता है, जहां आप चाहते हैं कि आपकी प्लगइन निर्देशिका बनाई जाए। उपर्युक्त कमांड को निष्पादित करने के बाद, आप देखेंगे कि एक निर्देशिका संरचना बनाई गई है।
प्लगइन विकसित करें
आप प्लगइन की कोड फ़ाइल पा सकते हैं \lib\logstash\filtersप्लगइन निर्देशिका में फ़ोल्डर। फ़ाइल एक्सटेंशन होगा.rb।
हमारे मामले में, कोड फ़ाइल निम्नलिखित पथ के अंदर स्थित थी -
C:\tpwork\logstash\lib\logstash-filter-myfilter\lib\logstash\filters\myfilter.rb
हम संदेश को डिफ़ॉल्ट - "⇒" हाय, आप इसे tutorialspoint.com पर सीख रहे हैं, और फ़ाइल को सेव करते हैं।
प्लगइन स्थापित करें
इस प्लगइन को स्थापित करने के लिए, लॉगस्टैश के जेमफाइल को संशोधित करने की आवश्यकता है। आप इस फ़ाइल को Logstash की स्थापना निर्देशिका में पा सकते हैं। हमारे मामले में, यह अंदर होगाC:\tpwork\logstash। किसी भी टेक्स्ट एडिटर का उपयोग करके इस फाइल को एडिट करें और इसमें निम्न टेक्स्ट जोड़ें।
gem "logstash-filter-myfilter",:path => "C:/tpwork/logstash/lib/logstash-filter-myfilter"
उपरोक्त कमांड में, हम प्लगइन के नाम के साथ निर्दिष्ट करते हैं जहां हम इसे स्थापना के लिए पा सकते हैं। फिर, इस प्लगइन को स्थापित करने के लिए लॉगस्टैश-प्लगइन उपयोगिता चलाएं।
>logstash-plugin install --no-verify
परिक्षण
यहां, हम जोड़ रहे हैं myfilter पिछले उदाहरणों में से एक में -
logstash.conf
इस Logstash config फाइल में ग्रूप फिल्टर प्लगइन के बाद फिल्टर सेक्शन में myfilter होता है।
input {
file {
path => "C:/tpwork/logstash/bin/log/input1.log"
}
}
filter {
grok {
match => [
"message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid} -
%{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?" ]
}
myfilter{}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output1.log"
codec => rubydebug
}
}
Run logstash
हम निम्नलिखित कमांड का उपयोग करके लॉगस्टैश चला सकते हैं।
>logstash –f logsatsh.conf
input.log
निम्न कोड ब्लॉक इनपुट लॉग डेटा दिखाता है।
INFO - 48566 - TRANSACTION_START - start
output.log
निम्न कोड ब्लॉक आउटपुट लॉग डेटा दिखाता है।
{
"path" => "C:/tpwork/logstash/bin/log/input.log",
"@timestamp" => 2017-01-07T06:25:25.484Z,
"loglevel" => "INFO",
"logger" => "TRANSACTION_END",
"@version" => "1",
"host" => "Dell-PC",
"label" => "end",
"message" => "Hi, You are learning this on tutorialspoint.com",
"taskid" => "48566",
"tags" => []
}
इसे Logstash पर प्रकाशित करें
एक डेवलपर अपने कस्टम प्लगइन को लॉगस्टैश में गिथब पर अपलोड करके और एलिटोसर्च कंपनी द्वारा परिभाषित मानकीकृत चरणों का पालन करके भी प्रकाशित कर सकता है।
कृपया प्रकाशन के बारे में अधिक जानकारी के लिए निम्न URL देखें -
https://www.elastic.co/guide/en/logstash/current/contributing-to-logstash.html
लॉगस्टैश अपने प्रदर्शन की निगरानी के लिए एपीआई प्रदान करता है। ये मॉनिटरिंग एपीआई लॉगस्टैश के बारे में रनटाइम मैट्रिक्स निकालते हैं।
नोड जानकारी एपीआई
इस एपीआई का उपयोग लॉगस्टैश के नोड्स के बारे में जानकारी प्राप्त करने के लिए किया जाता है। यह JSON फॉर्मेट में OS, Logstash पाइपलाइन और JVM की जानकारी देता है।
आप a भेजकर जानकारी निकाल सकते हैं get निम्नलिखित URL का उपयोग करके लॉगस्टैश के लिए अनुरोध करें -
GET http://localhost:9600/_node?pretty
प्रतिक्रिया
इसके बाद नोड इंफो एपीआई की प्रतिक्रिया होगी।
{
"host" : "Dell-PC",
"version" : "5.0.1",
"http_address" : "127.0.0.1:9600",
"pipeline" : {
"workers" : 4,
"batch_size" : 125,
"batch_delay" : 5,
"config_reload_automatic" : false,
"config_reload_interval" : 3
},
"os" : {
"name" : "Windows 7",
"arch" : "x86",
"version" : "6.1",
"available_processors" : 4
},
"jvm" : {
"pid" : 312,
"version" : "1.8.0_111",
"vm_name" : "Java HotSpot(TM) Client VM",
"vm_version" : "1.8.0_111",
"vm_vendor" : "Oracle Corporation",
"start_time_in_millis" : 1483770315412,
"mem" : {
"heap_init_in_bytes" : 16777216,
"heap_max_in_bytes" : 1046937600,
"non_heap_init_in_bytes" : 163840,
"non_heap_max_in_bytes" : 0
},
"gc_collectors" : [ "ParNew", "ConcurrentMarkSweep" ]
}
}
You can also get the specific information of Pipeline, OS and JVM, by just adding their names in the URL.
GET http://localhost:9600/_node/os?pretty
GET http://localhost:9600/_node/pipeline?pretty
GET http://localhost:9600/_node/jvm?pretty
Plugins Info API
This API is used to get the information about the installed plugins in the Logstash. You can retrieve this information by sending a get request to the URL mentioned below −
GET http://localhost:9600/_node/plugins?pretty
Response
Following would be the response of the Plugins Info API.
{
"host" : "Dell-PC",
"version" : "5.0.1",
"http_address" : "127.0.0.1:9600",
"total" : 95,
"plugins" : [ {
"name" : "logstash-codec-collectd",
"version" : "3.0.2"
},
{
"name" : "logstash-codec-dots",
"version" : "3.0.2"
},
{
"name" : "logstash-codec-edn",
"version" : "3.0.2"
},
{
"name" : "logstash-codec-edn_lines",
"version" : "3.0.2"
},
............
}
Node Stats API
This API is used to extract the statistics of the Logstash (Memory, Process, JVM, Pipeline) in JSON objects. You can retrieve this information by sending a get request to the URLS mentioned below −
GET http://localhost:9600/_node/stats/?pretty
GET http://localhost:9600/_node/stats/process?pretty
GET http://localhost:9600/_node/stats/jvm?pretty
GET http://localhost:9600/_node/stats/pipeline?pretty
Hot Threads API
This API retrieves the information about the hot threads in Logstash. Hot threads are the java threads, which has high CPU usage and run longer than then normal execution time. You can retrieve this information by sending a get request to the URL mentioned below −
GET http://localhost:9600/_node/hot_threads?pretty
A user can use the following URL to get the response in a form that is more readable.
GET http://localhost:9600/_node/hot_threads?human = true
In this chapter, we will discuss the security and monitoring aspects of Logstash.
Monitoring
Logstash is a very good tool to monitor the servers and services in production environments. Applications in production environment produces different kinds of log data like access Logs, Error Logs, etc. Logstash can count or analyze the number of errors, accesses or other events using filter plugins. This analysis and counting can be used for monitoring different servers and their services.
Logstash offers plugins like HTTP Poller to monitor the website status monitoring. Here, we are monitoring a website named mysite hosted on a local Apache Tomcat Server.
logstash.conf
In this config file, the http_poller plugin is used to hit the site specified in the plugin after a time interval specified in interval setting. Finally, it writes the status of the site to a standard output.
input {
http_poller {
urls => {
site => "http://localhost:8080/mysite"
}
request_timeout => 20
interval => 30
metadata_target => "http_poller_metadata"
}
}
output {
if [http_poller_metadata][code] == 200 {
stdout {
codec => line{format => "%{http_poller_metadata[response_message]}"}
}
}
if [http_poller_metadata][code] != 200 {
stdout {
codec => line{format => "down"}
}
}
}
Run logstash
We can run Logstash with the following command.
>logstash –f logstash.conf
stdout
If the site is up, then the output will be −
Ok
If we stop the site by using the Manager App of Tomcat, the output will change to −
down
Security
Logstash provides plenty of features for secure communication with external systems and supports authentication mechanism. All Logstash plugins support authentication and encryption over HTTP connections.
Security with HTTP protocol
There are settings like user and password for authentication purposes in various plugins offered by Logstash like in the Elasticsearch plugin.
elasticsearch {
user => <username>
password => <password>
}
The other authentication is PKI (public key infrastructure) for Elasticsearch. The developer needs to define two settings in the Elasticsearch output plugin to enable the PKI authentication.
elasticsearch {
keystore => <string_value>
keystore_password => <password>
}
In the HTTPS protocol, a developer can use the authority’s certificate for SSL/TLS.
elasticsearch {
ssl => true
cacert => <path to .pem file>
}
Security with Transport Protocol
To use the transport protocol with Elasticsearch, users need to set protocol setting to transport. This avoids un-marshalling of JSON objects and leads to more efficiency.
The basic authentication is same as performed in http protocol in Elasticsearch output protocol.
elasticsearch {
protocol => “transport”
user => <username>
password => <password>
}
The PKI authentication also needs the SSL sets to be true with other settings in the Elasticsearch output protocol −
elasticsearch {
protocol => “transport”
ssl => true
keystore => <string_value>
keystore_password => <password>
}
Finally, the SSL security requires a little with more settings than other security methods in communication.
elasticsearch {
ssl => true
ssl => true
keystore => <string_value>
keystore_password => <password>
truststore =>
truststore_password => <password> }
Other Security Benefits from Logstash
Logstash can help input system sources to prevent against attacks like denial of service attacks. The monitoring of logs and analyzing the different events in those logs can help system administrators to check the variation in the incoming connections and errors. These analyses can help to see if the attack is happening or going to happen on the servers.
Other products of the Elasticsearch Company such as x-pack and filebeat provides some functionality to communicate securely with Logstash.