Logstash - Arsitektur Internal

Pada bab ini, kita akan membahas tentang arsitektur internal dan berbagai komponen Logstash.

Arsitektur Layanan Logstash

Logstash memproses log dari berbagai server dan sumber data dan berfungsi sebagai pengirim. Pengirim digunakan untuk mengumpulkan log dan ini dipasang di setiap sumber input. Broker sukaRedis, Kafka atau RabbitMQ adalah buffer untuk menyimpan data bagi pengindeks, mungkin ada lebih dari satu broker karena gagal dalam beberapa kasus.

Pengindeks suka Lucenedigunakan untuk mengindeks log untuk kinerja pencarian yang lebih baik dan kemudian hasilnya disimpan di Elasticsearch atau tujuan keluaran lainnya. Data dalam penyimpanan keluaran tersedia untuk Kibana dan perangkat lunak visualisasi lainnya.

Arsitektur Internal Logstash

Pipeline Logstash terdiri dari tiga komponen Input, Filters dan Output. Bagian input bertanggung jawab untuk menentukan dan mengakses sumber data input seperti folder logApache Tomcat Server.

Contoh untuk Menjelaskan Logstash Pipeline

File konfigurasi Logstash berisi detail tentang tiga komponen Logstash. Dalam hal ini, kami membuat nama file bernamaLogstash.conf.

Konfigurasi berikut menangkap data dari log masukan "inlog.log" dan menulisnya ke log keluaran "outlog.log" tanpa filter apa pun.

Logstash.conf

File konfigurasi Logstash hanya menyalin data dari inlog.log file menggunakan plugin input dan menghapus data log ke outlog.log file menggunakan plugin keluaran.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/inlog.log"
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/outlog.log"
   }
}

Jalankan Logstash

Penggunaan Logstash –f opsi untuk menentukan file konfigurasi.

C:\logstash\bin> logstash –f logstash.conf

inlog.log

Blok kode berikut menunjukkan data log masukan.

Hello tutorialspoint.com

outlog.log

Output Logstash berisi data input di bidang pesan. Logstash juga menambahkan bidang lain ke keluaran seperti Stempel Waktu, Jalur Sumber Input, Versi, Host, dan Tag.

{
   "path":"C:/tpwork/logstash/bin/log/inlog1.log",
   "@timestamp":"2016-12-13T02:28:38.763Z",
   "@version":"1", "host":"Dell-PC",
   "message":" Hello tutorialspoint.com", "tags":[]
}

Seperti yang Anda bisa, output dari Logstash berisi lebih dari data yang disediakan melalui input log. Keluarannya berisi Jalur Sumber, Stempel Waktu, Versi, Nama Inang, dan Tag, yang digunakan untuk mewakili pesan tambahan seperti kesalahan.

Kita dapat menggunakan filter untuk memproses data dan membuatnya berguna untuk kebutuhan kita. Pada contoh berikutnya, kami menggunakan filter untuk mendapatkan data, yang membatasi output hanya untuk data dengan kata kerja seperti GET atau POST diikuti denganUnique Resource Identifier.

Logstash.conf

Dalam konfigurasi Logstash ini, kami menambahkan filter bernama grokuntuk menyaring data masukan. Peristiwa log masukan, yang cocok dengan log masukan urutan pola, hanya sampai ke tujuan keluaran dengan kesalahan. Logstash menambahkan tag bernama "_grokparsefailure" di acara keluaran, yang tidak cocok dengan urutan pola filter grok.

Logstash menawarkan banyak pola regex bawaan untuk mengurai log server populer seperti Apache. Pola yang digunakan di sini mengharapkan kata kerja seperti get, post, dll., Diikuti oleh pengenal sumber daya yang seragam.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/inlog2.log"
   }
}
filter {
   grok {
      match => {"message" => "%{WORD:verb} %{URIPATHPARAM:uri}"}
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/outlog2.log"
   }
}

Jalankan Logstash

Kita bisa menjalankan Logstash dengan menggunakan perintah berikut.

C:\logstash\bin> logstash –f  Logstash.conf

inlog2.log

File masukan kita berisi dua kejadian yang dipisahkan oleh pembatas default, yaitu pembatas baris baru. Peristiwa pertama cocok dengan pola yang ditentukan dalam GROk dan peristiwa kedua tidak.

GET /tutorialspoint/Logstash
Input 1234

outlog2.log

Kita dapat melihat bahwa kejadian keluaran kedua berisi tag "_grokparsefailure", karena tidak cocok dengan pola filter grok. Pengguna juga dapat menghapus kejadian yang tidak cocok ini dalam keluaran dengan menggunakan‘if’ kondisi di plugin keluaran.

{
   "path":"C:/tpwork/logstash/bin/log/inlog2.log",
   "@timestamp":"2016-12-13T02:47:10.352Z","@version":"1","host":"Dell-PC","verb":"GET",
   "message":"GET /tutorialspoint/logstash", "uri":"/tutorialspoint/logstash", "tags":[]
}
{
   "path":"C:/tpwork/logstash/bin/log/inlog2.log",
   "@timestamp":"2016-12-13T02:48:12.418Z", "@version":"1", "host":"Dell-PC",
   "message":"t 1234\r", "tags":["_grokparsefailure"]
}