Logstash - Plugin

Logstash menawarkan berbagai plugin untuk ketiga tahap pipeline-nya (Input, Filter, dan Output). Plugin ini membantu pengguna untuk menangkap log dari berbagai sumber seperti Server Web, Database, Over Network Protocols, dll.

Setelah menangkap, Logstash dapat mengurai dan mengubah data menjadi informasi yang bermakna seperti yang dibutuhkan oleh pengguna. Terakhir, Logstash dapat mengirim atau menyimpan informasi yang berarti tersebut ke berbagai sumber tujuan seperti Elasticsearch, AWS Cloudwatch, dll.

Plugin Input

Plugin input di Logstash membantu pengguna mengekstrak dan menerima log dari berbagai sumber. Sintaks untuk menggunakan plugin input adalah sebagai berikut -

Input {
   Plugin name {
      Setting 1……
      Setting 2……..
   }
}

Anda dapat mengunduh plugin input dengan menggunakan perintah berikut -

>Logstash-plugin install Logstash-input-<plugin name>

Utilitas Logstash-plugin ada di bin folderdari direktori instalasi Logstash. Tabel berikut memiliki daftar plugin input yang ditawarkan oleh Logstash.

Sr.No. Nama & Deskripsi plugin
1

beats

Untuk mendapatkan data atau peristiwa logging dari kerangka elastic beats.

2

cloudwatch

Untuk mengekstrak kejadian dari CloudWatch, tawaran API oleh Amazon Web Services.

3

couchdb_changes

Acara dari _chages URI couchdb dikirim menggunakan plugin ini.

4

drupal_dblog

Untuk mengekstrak data logging pengawas drupal dengan mengaktifkan DBLog.

5

Elasticsearch

Untuk mengambil hasil query yang dilakukan di cluster Elasticsearch.

6

eventlog

Untuk mendapatkan acara dari windows event log.

7

exec

Untuk mendapatkan keluaran perintah shell sebagai masukan di Logstash.

8

file

Untuk mendapatkan acara dari file input. Ini berguna, ketika Logstash diinstal secara lokal dengan sumber masukan dan memiliki akses ke log sumber masukan.

9

generator

Ini digunakan untuk tujuan pengujian, yang membuat peristiwa acak.

10

github

Merekam peristiwa dari webhook GitHub.

11

graphite

Untuk mendapatkan data metrik dari alat pemantauan grafit.

12

heartbeat

Ini juga digunakan untuk pengujian dan menghasilkan peristiwa seperti detak jantung

13

http

Untuk mengumpulkan peristiwa log melalui dua protokol jaringan dan itu adalah http dan https.

14

http_poller

Ini digunakan untuk mendekode keluaran HTTP API ke sebuah acara.

15

jdbc

Ini mengubah transaksi JDBC menjadi acara di Logstash.

16

jmx

Untuk mengekstrak metrik dari aplikasi java jarak jauh menggunakan JMX.

17

log4j

Tangkap peristiwa dari objek socketAppender dari Log4j melalui soket TCP.

18

rss

Untuk keluaran alat baris perintah sebagai peristiwa masukan di Logstash.

19

tcp

Menangkap peristiwa melalui soket TCP.

20

twitter

Kumpulkan acara dari Twitter streaming API.

21

unix

Kumpulkan acara melalui soket UNIX.

22

websocket

Rekam peristiwa melalui protokol websocket.

23

xmpp

Membaca peristiwa melalui protokol Jabber / xmpp.

Pengaturan Plugin

Semua plugin memiliki pengaturan khusus, yang membantu untuk menentukan bidang penting seperti Port, Path, dll., Di dalam plugin. Kami akan membahas pengaturan dari beberapa plugin input.

Mengajukan

Plugin input ini digunakan untuk mengekstrak peristiwa secara langsung dari log atau file teks yang ada di sumber input. Ia bekerja mirip dengan perintah tail di UNIX dan menyimpan kursor baca terakhir dan hanya membaca data baru yang ditambahkan dari file input, tetapi dapat diubah dengan menggunakan pengaturan star_position. Berikut adalah pengaturan plugin input ini.

Nama Pengaturan Nilai Default Deskripsi
add_field {} Tambahkan bidang baru ke acara masukan.
close_older 3600 File yang memiliki waktu baca terakhir (dalam detik) lebih dari yang ditentukan dalam plugin ini ditutup.
codec "polos" Ini digunakan untuk memecahkan kode data sebelum masuk ke pipa Logstash.
pembatas “\ N” Ini digunakan untuk menentukan pembatas baris baru.
Discover_interval 15 Ini adalah interval waktu (dalam detik) antara menemukan file baru di jalur yang ditentukan.
enable_metric benar Ini digunakan untuk mengaktifkan atau menonaktifkan pelaporan dan pengumpulan metrik untuk plugin yang ditentukan.
mengecualikan Ini digunakan untuk menentukan nama file atau pola, yang harus dikecualikan dari plugin input.
Indo Untuk menentukan identitas unik untuk instance plugin itu.
max_open_files Ini menentukan jumlah maksimum file input oleh Logstash setiap saat.
jalan Tentukan jalur file dan itu dapat berisi pola untuk nama file.
posisi awal "akhir" Anda dapat mengubah ke "awal", jika Anda menginginkannya; awalnya Logstash harus mulai membaca file dari awal dan tidak hanya peristiwa log baru.
start_interval 1 Ini menentukan interval waktu dalam hitungan detik, setelah itu Logstash memeriksa file yang dimodifikasi.
tag Untuk menambahkan informasi tambahan, seperti Logstash, ia menambahkan "_grokparsefailure" di tag, ketika peristiwa log apa pun gagal mematuhi filter grok yang ditentukan.
Tipe Ini adalah bidang khusus, yang dapat Anda tambahkan ke acara masukan dan berguna dalam filter dan kibana.

Elasticsearch

Plugin khusus ini digunakan untuk membaca hasil kueri penelusuran di cluster Elasticsearch. Berikut ini adalah pengaturan yang digunakan dalam plugin ini -

Nama Pengaturan Nilai Default Deskripsi
add_field {} Sama seperti di file plugin, ini digunakan untuk menambahkan bidang di acara masukan.
ca_file Ini digunakan untuk menentukan jalur file Otoritas sertifikat SSL.
codec "polos" Ini digunakan untuk mendekode peristiwa input dari Elasticsearch sebelum masuk ke pipeline Logstash.
docinfo "Salah" Anda dapat mengubahnya menjadi true, jika Anda ingin mengekstrak informasi tambahan seperti indeks, jenis, dan id dari mesin Elasticsearch.
docinfo_fields ["_index", "_type", "_id"] Anda dapat menghilangkan bidang apa pun, yang tidak Anda inginkan di masukan Logstash Anda.
enable_metric benar Ini digunakan untuk mengaktifkan atau menonaktifkan pelaporan dan pengumpulan metrik untuk instance plugin itu.
tuan rumah Ini digunakan untuk menentukan alamat semua mesin elasticsearch, yang akan menjadi sumber input dari instance Logstash itu. Sintaksnya adalah host: port atau IP: port.
Indo Ini digunakan untuk memberikan nomor identitas unik ke instance plugin input spesifik itu.
indeks "logstash- *" Ini digunakan untuk menentukan nama indeks atau pola, yang akan dipantau oleh Logstash oleh Logstash untuk input.
kata sandi Untuk tujuan otentikasi.
pertanyaan "{\" urutkan \ ": [\" _ doc \ "]}" Permintaan untuk eksekusi.
ssl Salah Mengaktifkan atau menonaktifkan lapisan soket aman.
tag Untuk menambahkan informasi tambahan dalam acara masukan.
Tipe Ini digunakan untuk mengklasifikasikan formulir masukan sehingga mudah untuk mencari semua peristiwa masukan di tahap selanjutnya.
pengguna Untuk tujuan otentik.

eventlog

Plugin input ini membaca data dari win32 API server windows. Berikut adalah pengaturan plugin ini -

Nama Pengaturan Nilai Default Deskripsi
add_field {} Sama seperti di file plugin, ini digunakan untuk menambahkan bidang di acara masukan
codec "polos" Ini digunakan untuk memecahkan kode peristiwa input dari windows; sebelum masuk ke pipeline Logstash
logfile ["Aplikasi", "Keamanan", "Sistem"] Acara yang diperlukan dalam file log masukan
selang 1000 Ini dalam milidetik dan menentukan interval antara dua pemeriksaan berturut-turut dari log peristiwa baru
tag Untuk menambahkan informasi tambahan dalam acara masukan
Tipe Ini digunakan untuk mengklasifikasikan bentuk masukan plugin tertentu untuk jenis yang diberikan, sehingga akan mudah untuk mencari semua peristiwa masukan di tahap selanjutnya

Indonesia

Plugin input ini digunakan untuk mengumpulkan feed twitter dari Streaming API-nya. Tabel berikut menjelaskan pengaturan plugin ini.

Nama Pengaturan Nilai Default Deskripsi
add_field {} Sama seperti di file plugin, ini digunakan untuk menambahkan bidang di acara masukan
codec "polos" Ini digunakan untuk memecahkan kode peristiwa input dari windows; sebelum masuk ke pipeline Logstash
consumer_key Ini berisi kunci konsumen aplikasi twitter. Untuk info lebih lanjut, kunjungihttps://dev.twitter.com/apps/new
rahasia_konsumen Berisi kunci rahasia konsumen aplikasi twitter. Untuk info lebih lanjut, kunjungihttps://dev.twitter.com/apps/new
enable_metric benar Ini digunakan untuk mengaktifkan atau menonaktifkan pelaporan dan pengumpulan metrik untuk instance plugin itu
mengikuti

Ini menentukan id pengguna yang dipisahkan dengan koma dan LogStash memeriksa status pengguna ini di Twitter.

Untuk info lebih lanjut, kunjungi

https://dev.twitter.com

full_tweet Salah Anda dapat mengubahnya menjadi true, jika Anda ingin Logstash membaca objek lengkap yang dikembalikan dari twitter API
Indo Ini digunakan untuk memberikan nomor identitas unik ke instance plugin input spesifik itu
ignore_retweets Salah Anda dapat mengubah set true untuk mengabaikan retweet di feed twitter masukan
kata kunci Ini adalah susunan kata kunci, yang perlu dilacak di umpan masukan twitters
bahasa Ini mendefinisikan bahasa tweet yang dibutuhkan oleh LogStash dari masukan umpan twitter. Ini adalah larik pengenal, yang mendefinisikan bahasa tertentu di twitter
lokasi Untuk menyaring tweet dari input feed sesuai dengan lokasi yang ditentukan. Ini adalah larik, yang berisi bujur dan lintang lokasi
oauth_token Ini adalah file wajib, yang berisi token oauth pengguna. Untuk informasi lebih lanjut silahkan kunjungi link berikuthttps://dev.twitter.com/apps
oauth_token_secret Ini adalah file wajib, yang berisi token rahasia pengguna. Untuk informasi lebih lanjut silahkan kunjungi link berikuthttps://dev.twitter.com/apps
tag Untuk menambahkan informasi tambahan dalam acara masukan
Tipe Ini digunakan untuk mengklasifikasikan bentuk masukan plugin tertentu untuk jenis yang diberikan, sehingga akan mudah untuk mencari semua peristiwa masukan di tahap selanjutnya

TCP

TCP digunakan untuk mendapatkan kejadian melalui soket TCP; itu dapat membaca dari koneksi pengguna atau server, yang ditentukan dalam pengaturan mode. Tabel berikut menjelaskan pengaturan plugin ini -

Nama Pengaturan Nilai Default Deskripsi
add_field {} Sama seperti di file plugin, ini digunakan untuk menambahkan bidang di acara masukan
codec "polos" Ini digunakan untuk memecahkan kode peristiwa input dari windows; sebelum masuk ke pipeline Logstash
enable_metric benar Ini digunakan untuk mengaktifkan atau menonaktifkan pelaporan dan pengumpulan metrik untuk instance plugin itu
tuan rumah "0.0.0.0" Alamat OS server tempat klien bergantung
Indo Ini berisi kunci konsumen aplikasi twitter
mode "Server" Ini digunakan untuk menentukan sumber input adalah server atau klien.
Pelabuhan Ini menentukan nomor port
ssl_cert Ini digunakan untuk menentukan jalur sertifikat SSL
ssl_enable Salah Aktifkan atau nonaktifkan SSL
ssl_key Untuk menentukan jalur file kunci SSL
tag Untuk menambahkan informasi tambahan dalam acara masukan
Tipe Ini digunakan untuk mengklasifikasikan bentuk masukan plugin tertentu untuk jenis yang diberikan, sehingga akan mudah untuk mencari semua peristiwa masukan di tahap selanjutnya

Logstash - Plugin Output

Logstash mendukung berbagai sumber keluaran dan dalam berbagai teknologi seperti Basis Data, File, Email, Keluaran Standar, dll.

Sintaks untuk menggunakan plugin keluaran adalah sebagai berikut -

output {
   Plugin name {
      Setting 1……
      Setting 2……..
   }
}

Anda dapat mengunduh plugin keluaran dengan menggunakan perintah berikut -

>logstash-plugin install logstash-output-<plugin name>

Itu Logstash-plugin utilityada di folder bin dari direktori instalasi Logstash. Tabel berikut menjelaskan plugin keluaran yang ditawarkan oleh Logstash.

Sr.No. Nama & Deskripsi Plugin
1

CloudWatch

Plugin ini digunakan untuk mengirim data metrik teragregasi ke CloudWatch dari layanan web amazon.

2

csv

Ini digunakan untuk menulis acara keluaran dengan cara yang dipisahkan koma.

3

Elasticsearch

Ini digunakan untuk menyimpan log keluaran di indeks Elasticsearch.

4

email

Ini digunakan untuk mengirim email notifikasi, ketika output dihasilkan. Pengguna dapat menambahkan informasi tentang keluaran di email.

5

exec

Ini digunakan untuk menjalankan perintah, yang cocok dengan acara keluaran.

6

ganglia

Ini menggeliat metrik untuk gmond Gangila.

7

gelf

Ini digunakan untuk menghasilkan keluaran untuk Graylog2 dalam format GELF.

8

google_bigquery

Ini menghasilkan acara ke Google BigQuery.

9

google_cloud_storage

Ini menyimpan acara keluaran ke Google Cloud Storage.

10

graphite

Ini digunakan untuk menyimpan acara keluaran ke Graphite.

11

graphtastic

Ini digunakan untuk menulis metrik keluaran pada Windows.

12

hipchat

Ini digunakan untuk menyimpan peristiwa log keluaran ke HipChat.

13

http

Ini digunakan untuk mengirim peristiwa log keluaran ke titik akhir http atau https.

14

influxdb

Ini digunakan untuk menyimpan acara keluaran di InfluxDB.

15

irc

Ini digunakan untuk menulis event keluaran ke irc.

16

mongodb

Ini menyimpan data keluaran di MongoDB.

17

nagios

Ini digunakan untuk memberi tahu Nagios dengan hasil pemeriksaan pasif.

18

nagios_nsca

Ini digunakan untuk memberi tahu Nagios dengan hasil pemeriksaan pasif melalui protokol NSCA.

19

opentsdb

Ini menyimpan acara keluaran Logstash ke OpenTSDB.

20

pipe

Ini mengalirkan acara keluaran ke masukan standar dari program lain.

21

rackspace

Ini digunakan untuk mengirim peristiwa log keluaran ke layanan Antrian Rackspace Cloud.

22

redis

Ia menggunakan perintah rpush untuk mengirim data pencatatan keluaran ke antrian Redis.

23

riak

Ini digunakan untuk menyimpan acara keluaran ke pasangan kunci / nilai terdistribusi Riak.

24

s3

Ini menyimpan data pencatatan keluaran ke Amazon Simple Storage Service.

25

sns

Ini digunakan untuk mengirim kejadian keluaran ke Amazon's Simple Notification Service.

26

solr_http

Ini mengindeks dan menyimpan data pencatatan keluaran di Solr.

27

sps

Ini digunakan untuk mengirimkan acara ke Simple Queue Service of AWS.

28

statsd

Ini digunakan untuk mengirimkan data metrik ke daemon jaringan statsd.

29

stdout

Ini digunakan untuk menampilkan event output pada output standar CLI seperti command prompt.

30

syslog

Ini digunakan untuk mengirimkan acara keluaran ke server syslog.

31

tcp

Ini digunakan untuk mengirim acara keluaran ke soket TCP.

32

udp

Ini digunakan untuk mendorong acara keluaran melalui UDP.

33

websocket

Ini digunakan untuk mendorong kejadian keluaran melalui protokol WebSocket.

34

xmpp

Ini digunakan untuk mendorong kejadian keluaran melalui protokol XMPP.

Semua plugin memiliki pengaturan khusus, yang membantu untuk menentukan bidang penting seperti Port, Path, dll., Di dalam plugin. Kami akan membahas pengaturan dari beberapa plugin keluaran.

Elasticsearch

Plugin keluaran Elasticsearch memungkinkan Logstash menyimpan keluaran di kluster tertentu mesin Elasticsearch. Ini adalah salah satu pilihan pengguna yang terkenal karena hadir dalam paket ELK Stack dan oleh karena itu, memberikan solusi ujung ke ujung untuk Devops. Tabel berikut menjelaskan pengaturan plugin keluaran ini.

Nama Pengaturan Nilai Default Deskripsi
tindakan indeks Ini digunakan untuk menentukan tindakan yang dilakukan di mesin Elasticsearch. Nilai lain untuk pengaturan ini adalah delete, create, update, dll.
cacert Ini berisi jalur file dengan .cer atau .pem untuk validasi sertifikat server.
codec "polos" Ini digunakan untuk menyandikan data pencatatan keluaran sebelum mengirimkannya ke sumber tujuan.
doc_as_upset Salah Pengaturan ini digunakan jika ada tindakan pembaruan. Ini membuat dokumen di mesin Elasticsearch, jika id dokumen tidak ditentukan dalam plugin keluaran.
tipe dokumen Ini digunakan untuk menyimpan jenis kejadian yang sama dalam jenis dokumen yang sama. Jika tidak ditentukan, maka jenis acara digunakan untuk hal yang sama.
flush_size 500 Ini digunakan untuk meningkatkan kinerja unggahan massal di Elasticsearch
tuan rumah ["127.0.0.1"] Ini adalah larik alamat tujuan untuk data pencatatan keluaran
idle_flush_time 1 Ini mendefinisikan batas waktu (detik) antara dua flush, Logstash force flush setelah batas waktu yang ditentukan dalam pengaturan ini
indeks "logstash -% {+ YYYY.MM.dd}" Ini digunakan untuk menentukan indeks mesin Elasticsearch
manage_temlpate benar Ini digunakan untuk menerapkan template default di Elasticsearch
induk nol Ini digunakan untuk menentukan id dokumen induk di Elasticsearch
kata sandi Ini digunakan untuk mengautentikasi permintaan ke cluster aman di Elasticsearch
jalan Ini digunakan untuk menentukan jalur HTTP dari Elasticsearch.
pipa nol Ini digunakan untuk menyetel pipeline serapan, yang ingin dieksekusi oleh pengguna untuk sebuah acara
proxy Ini digunakan untuk menentukan proxy HTTP
retry_initial_interval 2 Ini digunakan untuk menyetel interval waktu awal (detik) antara percobaan ulang massal. Ini menjadi dua kali lipat setelah setiap percobaan ulang hingga mencapai retry_max_interval
retry_max_interval 64 Ini digunakan untuk mengatur interval waktu maksimum untuk retry_initial_interval
retry_on_conflict 1 Ini adalah jumlah percobaan ulang oleh Elasticsearch untuk memperbarui dokumen
ssl Untuk mengaktifkan atau menonaktifkan SSL / TLS diamankan ke Elasticsearch
template Ini berisi jalur template yang disesuaikan di Elasticsearch
template_name "logstash" Ini digunakan untuk memberi nama template di Elasticsearch
waktu habis 60 Ini adalah batas waktu untuk permintaan jaringan ke Elasticsearch
upsert "" Itu memperbarui dokumen atau jika document_id tidak ada, itu membuat dokumen baru di Elasticsearch
pengguna Ini berisi pengguna untuk mengautentikasi permintaan Logstash di cluster Elasticsearch yang aman

Surel

Plugin keluaran email digunakan untuk memberi tahu pengguna, saat Logstash menghasilkan keluaran. Tabel berikut menjelaskan pengaturan untuk plugin ini.

Nama Pengaturan Nilai Default Deskripsi
alamat “Localhost” Ini adalah alamat server email
lampiran [] Ini berisi nama dan lokasi file terlampir
tubuh "" Ini berisi badan email dan harus berupa teks biasa
cc Ini berisi alamat email dengan cara dipisahkan koma untuk cc email
codec "polos" Ini digunakan untuk menyandikan data pencatatan keluaran sebelum mengirimkannya ke sumber tujuan.
Jenis konten "teks / html; charset = UTF-8" Ini digunakan untuk tipe konten email
debug Salah Ini digunakan untuk menjalankan relai email dalam mode debug
domain "localhost" Ini digunakan untuk mengatur domain untuk mengirim pesan email
dari "[email protected]" Ini digunakan untuk menentukan alamat email pengirim
htmlbody "" Ini digunakan untuk menentukan badan email dalam format html
kata sandi Ini digunakan untuk mengautentikasi dengan server email
Pelabuhan 25 Ini digunakan untuk menentukan port untuk berkomunikasi dengan server email
membalas ke Ini digunakan untuk menentukan id email untuk bidang balas ke email
subyek "" Ini berisi baris subjek email
use_tls Salah Mengaktifkan atau menonaktifkan TSL untuk komunikasi dengan server email
nama pengguna Is berisi nama pengguna untuk otentikasi dengan server
melalui “Smtp” Ini mendefinisikan metode pengiriman email dengan Logstash

Http

Pengaturan ini digunakan untuk mengirim acara keluaran melalui http ke tujuan. Plugin ini memiliki pengaturan berikut -

Nama Pengaturan Nilai Default Deskripsi
automatic_retries 1 Ini digunakan untuk menyetel jumlah percobaan ulang permintaan http dengan logstash
cacert Ini berisi jalur file untuk validasi sertifikat server
codec "polos" Ini digunakan untuk menyandikan data pencatatan keluaran sebelum mengirimkannya ke sumber tujuan.
Jenis konten Saya menentukan jenis konten permintaan http ke server tujuan
kue benar Ini digunakan untuk mengaktifkan atau menonaktifkan cookie
format "json" Ini digunakan untuk mengatur format isi permintaan http
header Ini berisi informasi dari http header
http_method "" Ini digunakan untuk menentukan metode http yang digunakan dalam permintaan dengan logstash dan nilainya dapat berupa "put", "post", "patch", "delete", "get", "head"
request_timeout 60 Ini digunakan untuk mengautentikasi dengan server email
url Ini adalah pengaturan yang diperlukan untuk plugin ini untuk menentukan titik akhir http atau https

stdout

Plugin output stdout digunakan untuk menulis event output pada output standar antarmuka baris perintah. Ini adalah command prompt di windows dan terminal di UNIX. Plugin ini memiliki pengaturan berikut -

Nama Pengaturan Nilai Default Deskripsi
codec "polos" Ini digunakan untuk menyandikan data pencatatan keluaran sebelum mengirimkannya ke sumber tujuan.
pekerja 1 Ini digunakan untuk menentukan jumlah pekerja untuk output

statsd

Ini adalah daemon jaringan yang digunakan untuk mengirim data matriks melalui UDP ke layanan backend tujuan. Ini adalah command prompt di windows dan terminal di UNIX. Plugin ini memiliki pengaturan berikut -

Nama Pengaturan Nilai Default Deskripsi
codec "polos" Ini digunakan untuk menyandikan data pencatatan keluaran sebelum mengirimkannya ke sumber tujuan.
menghitung {} Ini digunakan untuk menentukan jumlah yang akan digunakan dalam metrik
pengurangan [] Ini digunakan untuk menentukan nama metrik pengurangan
tuan rumah “Localhost” Ini berisi alamat server statsd
kenaikan [] Ini digunakan untuk menentukan nama metrik kenaikan
Pelabuhan 8125 Ini berisi port server statsd
sample_rate 1 Ini digunakan untuk menentukan tingkat sampel metrik
pengirim "%{tuan rumah}" Ini menentukan nama pengirim
set {} Ini digunakan untuk menentukan metrik yang ditetapkan
waktu {} Ini digunakan untuk menentukan metrik waktu
pekerja 1 Ini digunakan untuk menentukan jumlah pekerja untuk output

Filter Plugin

Logstash mendukung berbagai plugin filter untuk mengurai dan mengubah log masukan menjadi format kueri yang lebih terstruktur dan mudah.

Sintaks untuk menggunakan plugin filter adalah sebagai berikut -

filter {
   Plugin name {
      Setting 1……
      Setting 2……..
   }
}

Anda dapat mengunduh plugin filter dengan menggunakan perintah berikut -

>logstash-plugin install logstash-filter-<plugin name>

Utilitas Logstash-plugin ada di folder bin dari direktori instalasi Logstash. Tabel berikut menjelaskan plugin keluaran yang ditawarkan oleh Logstash.

Sr.No. Nama & Deskripsi Plugin
1

aggregate

Plugin ini mengumpulkan atau menggabungkan data dari berbagai acara dengan jenis yang sama dan memprosesnya di acara terakhir

2

alter

Ini memungkinkan pengguna untuk mengubah bidang peristiwa log, yang tidak ditangani oleh filter mutasi

3

anonymize

Ini digunakan untuk mengganti nilai bidang dengan hash yang konsisten

4

cipher

Ini digunakan untuk mengenkripsi acara keluaran sebelum menyimpannya di sumber tujuan

5

clone

Ini digunakan untuk membuat duplikat dari acara keluaran di Logstash

6

collate

Ini menggabungkan acara dari log yang berbeda dengan waktu atau hitungannya

7

csv

Plugin ini mengurai data dari log masukan sesuai dengan pemisah

8

date

Ini mengurai tanggal dari bidang dalam acara dan mengaturnya sebagai stempel waktu untuk acara tersebut

9

dissect

Plugin ini membantu pengguna untuk mengekstrak field dari data yang tidak terstruktur dan memudahkan filter grok untuk mengurai dengan benar

10

drop

Ini digunakan untuk menghapus semua kejadian dengan tipe yang sama atau kesamaan lainnya

11

elapsed

Ini digunakan untuk menghitung waktu antara acara awal dan akhir

12

Elasticsearch

Ini digunakan untuk menyalin bidang peristiwa log sebelumnya yang ada di Elasticsearch ke yang saat ini di Logstash

13

extractnumbers

Ini digunakan untuk mengekstrak nomor dari string di peristiwa log

14

geoip

Ini menambahkan bidang dalam acara, yang berisi garis lintang dan bujur dari lokasi IP yang ada dalam acara log

15

grok

Ini adalah plugin filter yang umum digunakan untuk mengurai acara untuk mendapatkan bidang

16

i18n

Ini menghapus karakter khusus dari yang diajukan di acara log

17

json

Ini digunakan untuk membuat objek Json terstruktur dalam acara atau di bidang tertentu dari suatu acara

18

kv

Plugin ini berguna dalam memisahkan pasangan nilai kunci dalam data logging

19

metrics

Ini digunakan untuk menggabungkan metrik seperti menghitung durasi waktu di setiap peristiwa

20

multiline

Ini juga merupakan salah satu plugin filter yang umum digunakan, yang membantu pengguna dalam hal mengonversi data pencatatan multiline menjadi satu peristiwa.

21

mutate

Plugin ini digunakan untuk mengganti nama, menghapus, mengganti, dan memodifikasi kolom di acara Anda

22

range

Ini digunakan untuk memeriksa nilai numerik bidang dalam acara terhadap rentang yang diharapkan dan panjang string dalam rentang.

23

ruby

Ini digunakan untuk menjalankan kode Ruby arbitrer

24

sleep

Ini membuat Logstash tertidur selama jangka waktu tertentu

25

split

Ini digunakan untuk membagi bidang acara dan menempatkan semua nilai pemisahan di klon acara itu

26

xml

Ini digunakan untuk membuat acara dengan mengupas data XML yang ada di log

Plugin codec

Plugin Codec dapat menjadi bagian dari plugin input atau output. Plugin ini digunakan untuk mengubah atau memformat presentasi data logging. Logstash menawarkan beberapa Plugin codec dan itu adalah sebagai berikut -

Sr.No. Nama & Deskripsi Plugin
1

avro

Plugin ini mengkodekan kejadian Logstash berseri ke datum avro atau mendekode catatan avro ke kejadian Logstash

2

cloudfront

Plugin ini membaca data yang dikodekan dari AWS cloudfront

3

cloudtrail

Plugin ini digunakan untuk membaca data dari AWS cloudtrail

4

collectd

Ini membaca data dari protokol biner yang disebut dikumpulkan melalui UDP

5

compress_spooler

Ini digunakan untuk memampatkan peristiwa log di Logstash menjadi kumpulan yang dikumpulkan

6

dots

Ini digunakan pelacakan kinerja dengan menetapkan titik untuk setiap acara ke stdout

7

es_bulk

Ini digunakan untuk mengonversi data massal dari Elasticsearch menjadi peristiwa Logstash termasuk metadata Elasticsearch

8

graphite

Codec ini membaca data dari grafit menjadi peristiwa dan mengubah peristiwa menjadi rekaman berformat grafit

9

gzip_lines

Plugin ini digunakan untuk menangani data yang dikodekan dengan gzip

10

json

Ini digunakan untuk mengonversi satu elemen dalam larik Json menjadi acara Logstash tunggal

11

json_lines

Ini digunakan untuk menangani data Json dengan pembatas baris baru

12

line

Itu plugin akan membaca dan menulis acara dalam satu live, itu berarti setelah pembatas baris baru akan ada acara baru

13

multiline

Ini digunakan untuk mengubah data pencatatan multiline menjadi satu peristiwa

14

netflow

Plugin ini digunakan untuk mengonversi data nertflow v5 / v9 menjadi acara logstash

15

nmap

Ini mem-parsing data hasil nmap ke dalam format XML

16

plain

Ini membaca teks tanpa pembatas

17

rubydebug

Plugin ini akan menulis event Logstash keluaran menggunakan perpustakaan cetak Ruby yang mengagumkan

Bangun Plugin Anda Sendiri

Anda juga dapat membuat Plugin Anda sendiri di Logstash, yang menyesuaikan kebutuhan Anda. Utilitas Logstash-plugin digunakan untuk membuat Plugin kustom. Di sini, kami akan membuat plugin filter, yang akan menambahkan pesan khusus di acara.

Hasilkan Struktur Dasar

Seorang pengguna dapat membuat file yang diperlukan dengan menggunakan opsi generate dari utilitas logstash-plugin atau juga tersedia di GitHub.

>logstash-plugin generate --type filter --name myfilter --path c:/tpwork/logstash/lib

Sini, typePilihan yang digunakan untuk menentukan plugin adalah Input, Output atau Filter. Dalam contoh ini, kami membuat plugin filter bernamamyfilter. Opsi jalur digunakan untuk menentukan jalur, di mana Anda ingin direktori plugin Anda dibuat. Setelah menjalankan perintah yang disebutkan di atas, Anda akan melihat bahwa struktur direktori dibuat.

Kembangkan Plugin

Anda dapat menemukan file kode plugin di \lib\logstash\filtersfolder di direktori plugin. Ekstensi file akan menjadi.rb.

Dalam kasus kami, file kode terletak di dalam jalur berikut -

C:\tpwork\logstash\lib\logstash-filter-myfilter\lib\logstash\filters\myfilter.rb

Kami mengubah pesan menjadi - default ⇒ "Hai, Anda mempelajari ini di tutorialspoint.com" dan simpan file.

Pasang Plugin

Untuk menginstal plugin ini, Gemfile dari Logstash perlu dimodifikasi. Anda dapat menemukan file ini di direktori instalasi Logstash. Dalam kasus kami, itu akan masukC:\tpwork\logstash. Edit file ini menggunakan editor teks apa saja dan tambahkan teks berikut di dalamnya.

gem "logstash-filter-myfilter",:path => "C:/tpwork/logstash/lib/logstash-filter-myfilter"

Pada perintah di atas, kami menentukan nama plugin bersama dengan di mana kami dapat menemukannya untuk instalasi. Kemudian, jalankan utilitas Logstash-plugin untuk menginstal plugin ini.

>logstash-plugin install --no-verify

Menguji

Di sini, kami menambahkan myfilter di salah satu contoh sebelumnya -

logstash.conf

File konfigurasi Logstash ini berisi myfilter di bagian filter setelah plugin filter grok.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/input1.log"
   } 
}
filter {
   grok {
      match => [
         "message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid} -
            %{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?" ]
   }
   myfilter{}
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/output1.log"
      codec => rubydebug
   }
}

Run logstash

Kita bisa menjalankan Logstash dengan menggunakan perintah berikut.

>logstash –f logsatsh.conf

input.log

Blok kode berikut menunjukkan data log masukan.

INFO - 48566 - TRANSACTION_START - start

output.log

Blok kode berikut menunjukkan data log keluaran.

{
   "path" => "C:/tpwork/logstash/bin/log/input.log",
   "@timestamp" => 2017-01-07T06:25:25.484Z,
   "loglevel" => "INFO",
   "logger" => "TRANSACTION_END",
   "@version" => "1",
   "host" => "Dell-PC",
   "label" => "end",
   "message" => "Hi, You are learning this on tutorialspoint.com",
   "taskid" => "48566",
   "tags" => []
}

Publikasikan di Logstash

Pengembang juga dapat mempublikasikan plugin kustomnya ke Logstash dengan menguploadnya di github dan mengikuti langkah standar yang ditentukan oleh Elasticsearch Company.

Silakan lihat URL berikut untuk informasi lebih lanjut tentang penerbitan -

https://www.elastic.co/guide/en/logstash/current/contributing-to-logstash.html