Logstash - Tahap Keluaran

Output adalah tahap terakhir dalam pipeline Logstash, yang mengirim data filter dari log input ke tujuan yang ditentukan. Logstash menawarkan beberapa plugin keluaran untuk menyimpan peristiwa log yang difilter ke berbagai penyimpanan dan mesin pencari yang berbeda.

Menyimpan Log

Logstash dapat menyimpan log yang difilter di file File, Elasticsearch Engine, stdout, AWS CloudWatch, dll. Protokol jaringan seperti TCP, UDP, Websocket juga dapat digunakan di Logstash untuk mentransfer peristiwa log ke sistem penyimpanan jarak jauh.

Dalam tumpukan ELK, pengguna menggunakan mesin Elasticsearch untuk menyimpan peristiwa log. Di sini, pada contoh berikut, kami akan membuat peristiwa log untuk mesin Elasticsearch lokal.

Menginstal Plugin Output Elasticsearch

Kita dapat menginstal plugin keluaran Elasticsearch dengan perintah berikut.

>logstash-plugin install Logstash-output-elasticsearch

logstash.conf

File konfigurasi ini berisi plugin Elasticsearch, yang menyimpan acara keluaran di Elasticsearch yang diinstal secara lokal.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input.log"
   }
} 
filter {
   grok {
      match => [ "message", "%{LOGLEVEL:loglevel} -
      %{NOTSPACE:taskid} - %{NOTSPACE:logger} -  
      %{WORD:label}( - %{INT:duration:int})?" ]
   }
   if [logger] == "TRANSACTION_START" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] = 0"
         map_action => "create"
      }
   }
   if [logger] == "SQL" {
      aggregate {
         task_id => "%{taskid}"
         code => "map['sql_duration'] ||= 0 ;
            map['sql_duration'] += event.get('duration')"
      }
   }
   if [logger] == "TRANSACTION_END" {
      aggregate {
         task_id => "%{taskid}"
         code => "event.set('sql_duration', map['sql_duration'])"
         end_of_task => true
         timeout => 120
      }
   }
   mutate {
      add_field => {"user" => "tutorialspoint.com"}
   }
}
output {
   elasticsearch {
      hosts => ["127.0.0.1:9200"]
   }
}

Input.log

Blok kode berikut menunjukkan data log masukan.

INFO - 48566 - TRANSACTION_START - start
INFO - 48566 - SQL - transaction1 - 320
INFO - 48566 - SQL - transaction1 - 200
INFO - 48566 - TRANSACTION_END - end

Mulai Elasticsearch di Localhost

Untuk memulai Elasticsearch di localhost, Anda harus menggunakan perintah berikut.

C:\elasticsearch\bin> elasticsearch

Setelah Elasticsearch siap, Anda dapat memeriksanya dengan mengetik URL berikut di browser Anda.

http://localhost:9200/

Tanggapan

Blok kode berikut menunjukkan respons Elasticsearch di localhost.

{
   "name" : "Doctor Dorcas",
   "cluster_name" : "elasticsearch",
   "version" : {
      "number" : "2.1.1",
      "build_hash" : "40e2c53a6b6c2972b3d13846e450e66f4375bd71",
      "build_timestamp" : "2015-12-15T13:05:55Z",
      "build_snapshot" : false,
      "lucene_version" : "5.3.1"
   },
   "tagline" : "You Know, for Search"
}

Note - Untuk informasi lebih lanjut tentang Elasticsearch, Anda dapat mengklik tautan berikut.

https://www.tutorialspoint.com/elasticsearch/index.html

Sekarang, jalankan Logstash dengan Logstash.conf yang disebutkan di atas

>Logstash –f Logstash.conf

Setelah menempelkan teks yang disebutkan di atas di log keluaran, teks itu akan disimpan di Elasticsearch oleh Logstash. Anda dapat memeriksa data yang disimpan dengan mengetikkan URL berikut di browser.

http://localhost:9200/logstash-2017.01.01/_search?pretty

Tanggapan

Ini adalah data dalam format JSON yang disimpan dalam indeks Logstash-2017.01.01.

{
   "took" : 20,
   "timed_out" : false,
   "_shards" : {
      "total" : 5,
      "successful" : 5,
      "failed" : 0
   },
   "hits" : {
      "total" : 10,
      "max_score" : 1.0,
      "hits" : [ {
         "_index" : "logstash-2017.01.01",
         "_type" : "logs",
         "_id" : "AVlZ9vF8hshdrGm02KOs",
         "_score" : 1.0,
         "_source":{
            "duration":200,"path":"C:/tpwork/logstash/bin/log/input.log", 
            "@timestamp":"2017-01-01T12:17:49.140Z","loglevel":"INFO",
            "logger":"SQL","@version":"1","host":"wcnlab-PC",
            "label":"transaction1",
            "message":" INFO - 48566 - SQL - transaction1 - 200\r",
            "user":"tutorialspoint.com","taskid":"48566","tags":[]
         }
      },
      {
         "_index" : "logstash-2017.01.01",
         "_type" : "logs",
         "_id" : "AVlZ9vF8hshdrGm02KOt",
         "_score" : 1.0,
         "_source":{
            "sql_duration":520,"path":"C:/tpwork/logstash/bin/log/input.log",
            "@timestamp":"2017-01-01T12:17:49.145Z","loglevel":"INFO",
            "logger":"TRANSACTION_END","@version":"1","host":"wcnlab-PC",
            "label":"end",
            "message":" INFO - 48566 - TRANSACTION_END - end\r",
            "user":"tutorialspoint.com","taskid":"48566","tags":[]
         }
      }
   }
}