Logstash - Plugin
Logstash menawarkan berbagai plugin untuk ketiga tahap pipeline-nya (Input, Filter, dan Output). Plugin ini membantu pengguna untuk menangkap log dari berbagai sumber seperti Server Web, Database, Over Network Protocols, dll.
Setelah menangkap, Logstash dapat mengurai dan mengubah data menjadi informasi yang bermakna seperti yang dibutuhkan oleh pengguna. Terakhir, Logstash dapat mengirim atau menyimpan informasi yang berarti tersebut ke berbagai sumber tujuan seperti Elasticsearch, AWS Cloudwatch, dll.
Plugin Input
Plugin input di Logstash membantu pengguna mengekstrak dan menerima log dari berbagai sumber. Sintaks untuk menggunakan plugin input adalah sebagai berikut -
Input {
Plugin name {
Setting 1……
Setting 2……..
}
}
Anda dapat mengunduh plugin input dengan menggunakan perintah berikut -
>Logstash-plugin install Logstash-input-<plugin name>
Utilitas Logstash-plugin ada di bin folderdari direktori instalasi Logstash. Tabel berikut memiliki daftar plugin input yang ditawarkan oleh Logstash.
Sr.No. | Nama & Deskripsi plugin |
---|---|
1 | beats Untuk mendapatkan data atau peristiwa logging dari kerangka elastic beats. |
2 | cloudwatch Untuk mengekstrak kejadian dari CloudWatch, tawaran API oleh Amazon Web Services. |
3 | couchdb_changes Acara dari _chages URI couchdb dikirim menggunakan plugin ini. |
4 | drupal_dblog Untuk mengekstrak data logging pengawas drupal dengan mengaktifkan DBLog. |
5 | Elasticsearch Untuk mengambil hasil query yang dilakukan di cluster Elasticsearch. |
6 | eventlog Untuk mendapatkan acara dari windows event log. |
7 | exec Untuk mendapatkan keluaran perintah shell sebagai masukan di Logstash. |
8 | file Untuk mendapatkan acara dari file input. Ini berguna, ketika Logstash diinstal secara lokal dengan sumber masukan dan memiliki akses ke log sumber masukan. |
9 | generator Ini digunakan untuk tujuan pengujian, yang membuat peristiwa acak. |
10 | github Merekam peristiwa dari webhook GitHub. |
11 | graphite Untuk mendapatkan data metrik dari alat pemantauan grafit. |
12 | heartbeat Ini juga digunakan untuk pengujian dan menghasilkan peristiwa seperti detak jantung |
13 | http Untuk mengumpulkan peristiwa log melalui dua protokol jaringan dan itu adalah http dan https. |
14 | http_poller Ini digunakan untuk mendekode keluaran HTTP API ke sebuah acara. |
15 | jdbc Ini mengubah transaksi JDBC menjadi acara di Logstash. |
16 | jmx Untuk mengekstrak metrik dari aplikasi java jarak jauh menggunakan JMX. |
17 | log4j Tangkap peristiwa dari objek socketAppender dari Log4j melalui soket TCP. |
18 | rss Untuk keluaran alat baris perintah sebagai peristiwa masukan di Logstash. |
19 | tcp Menangkap peristiwa melalui soket TCP. |
20 | Kumpulkan acara dari Twitter streaming API. |
21 | unix Kumpulkan acara melalui soket UNIX. |
22 | websocket Rekam peristiwa melalui protokol websocket. |
23 | xmpp Membaca peristiwa melalui protokol Jabber / xmpp. |
Pengaturan Plugin
Semua plugin memiliki pengaturan khusus, yang membantu untuk menentukan bidang penting seperti Port, Path, dll., Di dalam plugin. Kami akan membahas pengaturan dari beberapa plugin input.
Mengajukan
Plugin input ini digunakan untuk mengekstrak peristiwa secara langsung dari log atau file teks yang ada di sumber input. Ia bekerja mirip dengan perintah tail di UNIX dan menyimpan kursor baca terakhir dan hanya membaca data baru yang ditambahkan dari file input, tetapi dapat diubah dengan menggunakan pengaturan star_position. Berikut adalah pengaturan plugin input ini.
Nama Pengaturan | Nilai Default | Deskripsi |
---|---|---|
add_field | {} | Tambahkan bidang baru ke acara masukan. |
close_older | 3600 | File yang memiliki waktu baca terakhir (dalam detik) lebih dari yang ditentukan dalam plugin ini ditutup. |
codec | "polos" | Ini digunakan untuk memecahkan kode data sebelum masuk ke pipa Logstash. |
pembatas | “\ N” | Ini digunakan untuk menentukan pembatas baris baru. |
Discover_interval | 15 | Ini adalah interval waktu (dalam detik) antara menemukan file baru di jalur yang ditentukan. |
enable_metric | benar | Ini digunakan untuk mengaktifkan atau menonaktifkan pelaporan dan pengumpulan metrik untuk plugin yang ditentukan. |
mengecualikan | Ini digunakan untuk menentukan nama file atau pola, yang harus dikecualikan dari plugin input. | |
Indo | Untuk menentukan identitas unik untuk instance plugin itu. | |
max_open_files | Ini menentukan jumlah maksimum file input oleh Logstash setiap saat. | |
jalan | Tentukan jalur file dan itu dapat berisi pola untuk nama file. | |
posisi awal | "akhir" | Anda dapat mengubah ke "awal", jika Anda menginginkannya; awalnya Logstash harus mulai membaca file dari awal dan tidak hanya peristiwa log baru. |
start_interval | 1 | Ini menentukan interval waktu dalam hitungan detik, setelah itu Logstash memeriksa file yang dimodifikasi. |
tag | Untuk menambahkan informasi tambahan, seperti Logstash, ia menambahkan "_grokparsefailure" di tag, ketika peristiwa log apa pun gagal mematuhi filter grok yang ditentukan. | |
Tipe | Ini adalah bidang khusus, yang dapat Anda tambahkan ke acara masukan dan berguna dalam filter dan kibana. |
Elasticsearch
Plugin khusus ini digunakan untuk membaca hasil kueri penelusuran di cluster Elasticsearch. Berikut ini adalah pengaturan yang digunakan dalam plugin ini -
Nama Pengaturan | Nilai Default | Deskripsi |
---|---|---|
add_field | {} | Sama seperti di file plugin, ini digunakan untuk menambahkan bidang di acara masukan. |
ca_file | Ini digunakan untuk menentukan jalur file Otoritas sertifikat SSL. | |
codec | "polos" | Ini digunakan untuk mendekode peristiwa input dari Elasticsearch sebelum masuk ke pipeline Logstash. |
docinfo | "Salah" | Anda dapat mengubahnya menjadi true, jika Anda ingin mengekstrak informasi tambahan seperti indeks, jenis, dan id dari mesin Elasticsearch. |
docinfo_fields | ["_index", "_type", "_id"] | Anda dapat menghilangkan bidang apa pun, yang tidak Anda inginkan di masukan Logstash Anda. |
enable_metric | benar | Ini digunakan untuk mengaktifkan atau menonaktifkan pelaporan dan pengumpulan metrik untuk instance plugin itu. |
tuan rumah | Ini digunakan untuk menentukan alamat semua mesin elasticsearch, yang akan menjadi sumber input dari instance Logstash itu. Sintaksnya adalah host: port atau IP: port. | |
Indo | Ini digunakan untuk memberikan nomor identitas unik ke instance plugin input spesifik itu. | |
indeks | "logstash- *" | Ini digunakan untuk menentukan nama indeks atau pola, yang akan dipantau oleh Logstash oleh Logstash untuk input. |
kata sandi | Untuk tujuan otentikasi. | |
pertanyaan | "{\" urutkan \ ": [\" _ doc \ "]}" | Permintaan untuk eksekusi. |
ssl | Salah | Mengaktifkan atau menonaktifkan lapisan soket aman. |
tag | Untuk menambahkan informasi tambahan dalam acara masukan. | |
Tipe | Ini digunakan untuk mengklasifikasikan formulir masukan sehingga mudah untuk mencari semua peristiwa masukan di tahap selanjutnya. | |
pengguna | Untuk tujuan otentik. |
eventlog
Plugin input ini membaca data dari win32 API server windows. Berikut adalah pengaturan plugin ini -
Nama Pengaturan | Nilai Default | Deskripsi |
---|---|---|
add_field | {} | Sama seperti di file plugin, ini digunakan untuk menambahkan bidang di acara masukan |
codec | "polos" | Ini digunakan untuk memecahkan kode peristiwa input dari windows; sebelum masuk ke pipeline Logstash |
logfile | ["Aplikasi", "Keamanan", "Sistem"] | Acara yang diperlukan dalam file log masukan |
selang | 1000 | Ini dalam milidetik dan menentukan interval antara dua pemeriksaan berturut-turut dari log peristiwa baru |
tag | Untuk menambahkan informasi tambahan dalam acara masukan | |
Tipe | Ini digunakan untuk mengklasifikasikan bentuk masukan plugin tertentu untuk jenis yang diberikan, sehingga akan mudah untuk mencari semua peristiwa masukan di tahap selanjutnya |
Indonesia
Plugin input ini digunakan untuk mengumpulkan feed twitter dari Streaming API-nya. Tabel berikut menjelaskan pengaturan plugin ini.
Nama Pengaturan | Nilai Default | Deskripsi |
---|---|---|
add_field | {} | Sama seperti di file plugin, ini digunakan untuk menambahkan bidang di acara masukan |
codec | "polos" | Ini digunakan untuk memecahkan kode peristiwa input dari windows; sebelum masuk ke pipeline Logstash |
consumer_key | Ini berisi kunci konsumen aplikasi twitter. Untuk info lebih lanjut, kunjungihttps://dev.twitter.com/apps/new | |
rahasia_konsumen | Berisi kunci rahasia konsumen aplikasi twitter. Untuk info lebih lanjut, kunjungihttps://dev.twitter.com/apps/new | |
enable_metric | benar | Ini digunakan untuk mengaktifkan atau menonaktifkan pelaporan dan pengumpulan metrik untuk instance plugin itu |
mengikuti | Ini menentukan id pengguna yang dipisahkan dengan koma dan LogStash memeriksa status pengguna ini di Twitter. Untuk info lebih lanjut, kunjungi https://dev.twitter.com |
|
full_tweet | Salah | Anda dapat mengubahnya menjadi true, jika Anda ingin Logstash membaca objek lengkap yang dikembalikan dari twitter API |
Indo | Ini digunakan untuk memberikan nomor identitas unik ke instance plugin input spesifik itu | |
ignore_retweets | Salah | Anda dapat mengubah set true untuk mengabaikan retweet di feed twitter masukan |
kata kunci | Ini adalah susunan kata kunci, yang perlu dilacak di umpan masukan twitters | |
bahasa | Ini mendefinisikan bahasa tweet yang dibutuhkan oleh LogStash dari masukan umpan twitter. Ini adalah larik pengenal, yang mendefinisikan bahasa tertentu di twitter | |
lokasi | Untuk menyaring tweet dari input feed sesuai dengan lokasi yang ditentukan. Ini adalah larik, yang berisi bujur dan lintang lokasi | |
oauth_token | Ini adalah file wajib, yang berisi token oauth pengguna. Untuk informasi lebih lanjut silahkan kunjungi link berikuthttps://dev.twitter.com/apps | |
oauth_token_secret | Ini adalah file wajib, yang berisi token rahasia pengguna. Untuk informasi lebih lanjut silahkan kunjungi link berikuthttps://dev.twitter.com/apps | |
tag | Untuk menambahkan informasi tambahan dalam acara masukan | |
Tipe | Ini digunakan untuk mengklasifikasikan bentuk masukan plugin tertentu untuk jenis yang diberikan, sehingga akan mudah untuk mencari semua peristiwa masukan di tahap selanjutnya |
TCP
TCP digunakan untuk mendapatkan kejadian melalui soket TCP; itu dapat membaca dari koneksi pengguna atau server, yang ditentukan dalam pengaturan mode. Tabel berikut menjelaskan pengaturan plugin ini -
Nama Pengaturan | Nilai Default | Deskripsi |
---|---|---|
add_field | {} | Sama seperti di file plugin, ini digunakan untuk menambahkan bidang di acara masukan |
codec | "polos" | Ini digunakan untuk memecahkan kode peristiwa input dari windows; sebelum masuk ke pipeline Logstash |
enable_metric | benar | Ini digunakan untuk mengaktifkan atau menonaktifkan pelaporan dan pengumpulan metrik untuk instance plugin itu |
tuan rumah | "0.0.0.0" | Alamat OS server tempat klien bergantung |
Indo | Ini berisi kunci konsumen aplikasi twitter | |
mode | "Server" | Ini digunakan untuk menentukan sumber input adalah server atau klien. |
Pelabuhan | Ini menentukan nomor port | |
ssl_cert | Ini digunakan untuk menentukan jalur sertifikat SSL | |
ssl_enable | Salah | Aktifkan atau nonaktifkan SSL |
ssl_key | Untuk menentukan jalur file kunci SSL | |
tag | Untuk menambahkan informasi tambahan dalam acara masukan | |
Tipe | Ini digunakan untuk mengklasifikasikan bentuk masukan plugin tertentu untuk jenis yang diberikan, sehingga akan mudah untuk mencari semua peristiwa masukan di tahap selanjutnya |
Logstash - Plugin Output
Logstash mendukung berbagai sumber keluaran dan dalam berbagai teknologi seperti Basis Data, File, Email, Keluaran Standar, dll.
Sintaks untuk menggunakan plugin keluaran adalah sebagai berikut -
output {
Plugin name {
Setting 1……
Setting 2……..
}
}
Anda dapat mengunduh plugin keluaran dengan menggunakan perintah berikut -
>logstash-plugin install logstash-output-<plugin name>
Itu Logstash-plugin utilityada di folder bin dari direktori instalasi Logstash. Tabel berikut menjelaskan plugin keluaran yang ditawarkan oleh Logstash.
Sr.No. | Nama & Deskripsi Plugin |
---|---|
1 | CloudWatch Plugin ini digunakan untuk mengirim data metrik teragregasi ke CloudWatch dari layanan web amazon. |
2 | csv Ini digunakan untuk menulis acara keluaran dengan cara yang dipisahkan koma. |
3 | Elasticsearch Ini digunakan untuk menyimpan log keluaran di indeks Elasticsearch. |
4 | Ini digunakan untuk mengirim email notifikasi, ketika output dihasilkan. Pengguna dapat menambahkan informasi tentang keluaran di email. |
5 | exec Ini digunakan untuk menjalankan perintah, yang cocok dengan acara keluaran. |
6 | ganglia Ini menggeliat metrik untuk gmond Gangila. |
7 | gelf Ini digunakan untuk menghasilkan keluaran untuk Graylog2 dalam format GELF. |
8 | google_bigquery Ini menghasilkan acara ke Google BigQuery. |
9 | google_cloud_storage Ini menyimpan acara keluaran ke Google Cloud Storage. |
10 | graphite Ini digunakan untuk menyimpan acara keluaran ke Graphite. |
11 | graphtastic Ini digunakan untuk menulis metrik keluaran pada Windows. |
12 | hipchat Ini digunakan untuk menyimpan peristiwa log keluaran ke HipChat. |
13 | http Ini digunakan untuk mengirim peristiwa log keluaran ke titik akhir http atau https. |
14 | influxdb Ini digunakan untuk menyimpan acara keluaran di InfluxDB. |
15 | irc Ini digunakan untuk menulis event keluaran ke irc. |
16 | mongodb Ini menyimpan data keluaran di MongoDB. |
17 | nagios Ini digunakan untuk memberi tahu Nagios dengan hasil pemeriksaan pasif. |
18 | nagios_nsca Ini digunakan untuk memberi tahu Nagios dengan hasil pemeriksaan pasif melalui protokol NSCA. |
19 | opentsdb Ini menyimpan acara keluaran Logstash ke OpenTSDB. |
20 | pipe Ini mengalirkan acara keluaran ke masukan standar dari program lain. |
21 | rackspace Ini digunakan untuk mengirim peristiwa log keluaran ke layanan Antrian Rackspace Cloud. |
22 | redis Ia menggunakan perintah rpush untuk mengirim data pencatatan keluaran ke antrian Redis. |
23 | riak Ini digunakan untuk menyimpan acara keluaran ke pasangan kunci / nilai terdistribusi Riak. |
24 | s3 Ini menyimpan data pencatatan keluaran ke Amazon Simple Storage Service. |
25 | sns Ini digunakan untuk mengirim kejadian keluaran ke Amazon's Simple Notification Service. |
26 | solr_http Ini mengindeks dan menyimpan data pencatatan keluaran di Solr. |
27 | sps Ini digunakan untuk mengirimkan acara ke Simple Queue Service of AWS. |
28 | statsd Ini digunakan untuk mengirimkan data metrik ke daemon jaringan statsd. |
29 | stdout Ini digunakan untuk menampilkan event output pada output standar CLI seperti command prompt. |
30 | syslog Ini digunakan untuk mengirimkan acara keluaran ke server syslog. |
31 | tcp Ini digunakan untuk mengirim acara keluaran ke soket TCP. |
32 | udp Ini digunakan untuk mendorong acara keluaran melalui UDP. |
33 | websocket Ini digunakan untuk mendorong kejadian keluaran melalui protokol WebSocket. |
34 | xmpp Ini digunakan untuk mendorong kejadian keluaran melalui protokol XMPP. |
Semua plugin memiliki pengaturan khusus, yang membantu untuk menentukan bidang penting seperti Port, Path, dll., Di dalam plugin. Kami akan membahas pengaturan dari beberapa plugin keluaran.
Elasticsearch
Plugin keluaran Elasticsearch memungkinkan Logstash menyimpan keluaran di kluster tertentu mesin Elasticsearch. Ini adalah salah satu pilihan pengguna yang terkenal karena hadir dalam paket ELK Stack dan oleh karena itu, memberikan solusi ujung ke ujung untuk Devops. Tabel berikut menjelaskan pengaturan plugin keluaran ini.
Nama Pengaturan | Nilai Default | Deskripsi |
---|---|---|
tindakan | indeks | Ini digunakan untuk menentukan tindakan yang dilakukan di mesin Elasticsearch. Nilai lain untuk pengaturan ini adalah delete, create, update, dll. |
cacert | Ini berisi jalur file dengan .cer atau .pem untuk validasi sertifikat server. | |
codec | "polos" | Ini digunakan untuk menyandikan data pencatatan keluaran sebelum mengirimkannya ke sumber tujuan. |
doc_as_upset | Salah | Pengaturan ini digunakan jika ada tindakan pembaruan. Ini membuat dokumen di mesin Elasticsearch, jika id dokumen tidak ditentukan dalam plugin keluaran. |
tipe dokumen | Ini digunakan untuk menyimpan jenis kejadian yang sama dalam jenis dokumen yang sama. Jika tidak ditentukan, maka jenis acara digunakan untuk hal yang sama. | |
flush_size | 500 | Ini digunakan untuk meningkatkan kinerja unggahan massal di Elasticsearch |
tuan rumah | ["127.0.0.1"] | Ini adalah larik alamat tujuan untuk data pencatatan keluaran |
idle_flush_time | 1 | Ini mendefinisikan batas waktu (detik) antara dua flush, Logstash force flush setelah batas waktu yang ditentukan dalam pengaturan ini |
indeks | "logstash -% {+ YYYY.MM.dd}" | Ini digunakan untuk menentukan indeks mesin Elasticsearch |
manage_temlpate | benar | Ini digunakan untuk menerapkan template default di Elasticsearch |
induk | nol | Ini digunakan untuk menentukan id dokumen induk di Elasticsearch |
kata sandi | Ini digunakan untuk mengautentikasi permintaan ke cluster aman di Elasticsearch | |
jalan | Ini digunakan untuk menentukan jalur HTTP dari Elasticsearch. | |
pipa | nol | Ini digunakan untuk menyetel pipeline serapan, yang ingin dieksekusi oleh pengguna untuk sebuah acara |
proxy | Ini digunakan untuk menentukan proxy HTTP | |
retry_initial_interval | 2 | Ini digunakan untuk menyetel interval waktu awal (detik) antara percobaan ulang massal. Ini menjadi dua kali lipat setelah setiap percobaan ulang hingga mencapai retry_max_interval |
retry_max_interval | 64 | Ini digunakan untuk mengatur interval waktu maksimum untuk retry_initial_interval |
retry_on_conflict | 1 | Ini adalah jumlah percobaan ulang oleh Elasticsearch untuk memperbarui dokumen |
ssl | Untuk mengaktifkan atau menonaktifkan SSL / TLS diamankan ke Elasticsearch | |
template | Ini berisi jalur template yang disesuaikan di Elasticsearch | |
template_name | "logstash" | Ini digunakan untuk memberi nama template di Elasticsearch |
waktu habis | 60 | Ini adalah batas waktu untuk permintaan jaringan ke Elasticsearch |
upsert | "" | Itu memperbarui dokumen atau jika document_id tidak ada, itu membuat dokumen baru di Elasticsearch |
pengguna | Ini berisi pengguna untuk mengautentikasi permintaan Logstash di cluster Elasticsearch yang aman |
Surel
Plugin keluaran email digunakan untuk memberi tahu pengguna, saat Logstash menghasilkan keluaran. Tabel berikut menjelaskan pengaturan untuk plugin ini.
Nama Pengaturan | Nilai Default | Deskripsi |
---|---|---|
alamat | “Localhost” | Ini adalah alamat server email |
lampiran | [] | Ini berisi nama dan lokasi file terlampir |
tubuh | "" | Ini berisi badan email dan harus berupa teks biasa |
cc | Ini berisi alamat email dengan cara dipisahkan koma untuk cc email | |
codec | "polos" | Ini digunakan untuk menyandikan data pencatatan keluaran sebelum mengirimkannya ke sumber tujuan. |
Jenis konten | "teks / html; charset = UTF-8" | Ini digunakan untuk tipe konten email |
debug | Salah | Ini digunakan untuk menjalankan relai email dalam mode debug |
domain | "localhost" | Ini digunakan untuk mengatur domain untuk mengirim pesan email |
dari | "[email protected]" | Ini digunakan untuk menentukan alamat email pengirim |
htmlbody | "" | Ini digunakan untuk menentukan badan email dalam format html |
kata sandi | Ini digunakan untuk mengautentikasi dengan server email | |
Pelabuhan | 25 | Ini digunakan untuk menentukan port untuk berkomunikasi dengan server email |
membalas ke | Ini digunakan untuk menentukan id email untuk bidang balas ke email | |
subyek | "" | Ini berisi baris subjek email |
use_tls | Salah | Mengaktifkan atau menonaktifkan TSL untuk komunikasi dengan server email |
nama pengguna | Is berisi nama pengguna untuk otentikasi dengan server | |
melalui | “Smtp” | Ini mendefinisikan metode pengiriman email dengan Logstash |
Http
Pengaturan ini digunakan untuk mengirim acara keluaran melalui http ke tujuan. Plugin ini memiliki pengaturan berikut -
Nama Pengaturan | Nilai Default | Deskripsi |
---|---|---|
automatic_retries | 1 | Ini digunakan untuk menyetel jumlah percobaan ulang permintaan http dengan logstash |
cacert | Ini berisi jalur file untuk validasi sertifikat server | |
codec | "polos" | Ini digunakan untuk menyandikan data pencatatan keluaran sebelum mengirimkannya ke sumber tujuan. |
Jenis konten | Saya menentukan jenis konten permintaan http ke server tujuan | |
kue | benar | Ini digunakan untuk mengaktifkan atau menonaktifkan cookie |
format | "json" | Ini digunakan untuk mengatur format isi permintaan http |
header | Ini berisi informasi dari http header | |
http_method | "" | Ini digunakan untuk menentukan metode http yang digunakan dalam permintaan dengan logstash dan nilainya dapat berupa "put", "post", "patch", "delete", "get", "head" |
request_timeout | 60 | Ini digunakan untuk mengautentikasi dengan server email |
url | Ini adalah pengaturan yang diperlukan untuk plugin ini untuk menentukan titik akhir http atau https |
stdout
Plugin output stdout digunakan untuk menulis event output pada output standar antarmuka baris perintah. Ini adalah command prompt di windows dan terminal di UNIX. Plugin ini memiliki pengaturan berikut -
Nama Pengaturan | Nilai Default | Deskripsi |
---|---|---|
codec | "polos" | Ini digunakan untuk menyandikan data pencatatan keluaran sebelum mengirimkannya ke sumber tujuan. |
pekerja | 1 | Ini digunakan untuk menentukan jumlah pekerja untuk output |
statsd
Ini adalah daemon jaringan yang digunakan untuk mengirim data matriks melalui UDP ke layanan backend tujuan. Ini adalah command prompt di windows dan terminal di UNIX. Plugin ini memiliki pengaturan berikut -
Nama Pengaturan | Nilai Default | Deskripsi |
---|---|---|
codec | "polos" | Ini digunakan untuk menyandikan data pencatatan keluaran sebelum mengirimkannya ke sumber tujuan. |
menghitung | {} | Ini digunakan untuk menentukan jumlah yang akan digunakan dalam metrik |
pengurangan | [] | Ini digunakan untuk menentukan nama metrik pengurangan |
tuan rumah | “Localhost” | Ini berisi alamat server statsd |
kenaikan | [] | Ini digunakan untuk menentukan nama metrik kenaikan |
Pelabuhan | 8125 | Ini berisi port server statsd |
sample_rate | 1 | Ini digunakan untuk menentukan tingkat sampel metrik |
pengirim | "%{tuan rumah}" | Ini menentukan nama pengirim |
set | {} | Ini digunakan untuk menentukan metrik yang ditetapkan |
waktu | {} | Ini digunakan untuk menentukan metrik waktu |
pekerja | 1 | Ini digunakan untuk menentukan jumlah pekerja untuk output |
Filter Plugin
Logstash mendukung berbagai plugin filter untuk mengurai dan mengubah log masukan menjadi format kueri yang lebih terstruktur dan mudah.
Sintaks untuk menggunakan plugin filter adalah sebagai berikut -
filter {
Plugin name {
Setting 1……
Setting 2……..
}
}
Anda dapat mengunduh plugin filter dengan menggunakan perintah berikut -
>logstash-plugin install logstash-filter-<plugin name>
Utilitas Logstash-plugin ada di folder bin dari direktori instalasi Logstash. Tabel berikut menjelaskan plugin keluaran yang ditawarkan oleh Logstash.
Sr.No. | Nama & Deskripsi Plugin |
---|---|
1 | aggregate Plugin ini mengumpulkan atau menggabungkan data dari berbagai acara dengan jenis yang sama dan memprosesnya di acara terakhir |
2 | alter Ini memungkinkan pengguna untuk mengubah bidang peristiwa log, yang tidak ditangani oleh filter mutasi |
3 | anonymize Ini digunakan untuk mengganti nilai bidang dengan hash yang konsisten |
4 | cipher Ini digunakan untuk mengenkripsi acara keluaran sebelum menyimpannya di sumber tujuan |
5 | clone Ini digunakan untuk membuat duplikat dari acara keluaran di Logstash |
6 | collate Ini menggabungkan acara dari log yang berbeda dengan waktu atau hitungannya |
7 | csv Plugin ini mengurai data dari log masukan sesuai dengan pemisah |
8 | date Ini mengurai tanggal dari bidang dalam acara dan mengaturnya sebagai stempel waktu untuk acara tersebut |
9 | dissect Plugin ini membantu pengguna untuk mengekstrak field dari data yang tidak terstruktur dan memudahkan filter grok untuk mengurai dengan benar |
10 | drop Ini digunakan untuk menghapus semua kejadian dengan tipe yang sama atau kesamaan lainnya |
11 | elapsed Ini digunakan untuk menghitung waktu antara acara awal dan akhir |
12 | Elasticsearch Ini digunakan untuk menyalin bidang peristiwa log sebelumnya yang ada di Elasticsearch ke yang saat ini di Logstash |
13 | extractnumbers Ini digunakan untuk mengekstrak nomor dari string di peristiwa log |
14 | geoip Ini menambahkan bidang dalam acara, yang berisi garis lintang dan bujur dari lokasi IP yang ada dalam acara log |
15 | grok Ini adalah plugin filter yang umum digunakan untuk mengurai acara untuk mendapatkan bidang |
16 | i18n Ini menghapus karakter khusus dari yang diajukan di acara log |
17 | json Ini digunakan untuk membuat objek Json terstruktur dalam acara atau di bidang tertentu dari suatu acara |
18 | kv Plugin ini berguna dalam memisahkan pasangan nilai kunci dalam data logging |
19 | metrics Ini digunakan untuk menggabungkan metrik seperti menghitung durasi waktu di setiap peristiwa |
20 | multiline Ini juga merupakan salah satu plugin filter yang umum digunakan, yang membantu pengguna dalam hal mengonversi data pencatatan multiline menjadi satu peristiwa. |
21 | mutate Plugin ini digunakan untuk mengganti nama, menghapus, mengganti, dan memodifikasi kolom di acara Anda |
22 | range Ini digunakan untuk memeriksa nilai numerik bidang dalam acara terhadap rentang yang diharapkan dan panjang string dalam rentang. |
23 | ruby Ini digunakan untuk menjalankan kode Ruby arbitrer |
24 | sleep Ini membuat Logstash tertidur selama jangka waktu tertentu |
25 | split Ini digunakan untuk membagi bidang acara dan menempatkan semua nilai pemisahan di klon acara itu |
26 | xml Ini digunakan untuk membuat acara dengan mengupas data XML yang ada di log |
Plugin codec
Plugin Codec dapat menjadi bagian dari plugin input atau output. Plugin ini digunakan untuk mengubah atau memformat presentasi data logging. Logstash menawarkan beberapa Plugin codec dan itu adalah sebagai berikut -
Sr.No. | Nama & Deskripsi Plugin |
---|---|
1 | avro Plugin ini mengkodekan kejadian Logstash berseri ke datum avro atau mendekode catatan avro ke kejadian Logstash |
2 | cloudfront Plugin ini membaca data yang dikodekan dari AWS cloudfront |
3 | cloudtrail Plugin ini digunakan untuk membaca data dari AWS cloudtrail |
4 | collectd Ini membaca data dari protokol biner yang disebut dikumpulkan melalui UDP |
5 | compress_spooler Ini digunakan untuk memampatkan peristiwa log di Logstash menjadi kumpulan yang dikumpulkan |
6 | dots Ini digunakan pelacakan kinerja dengan menetapkan titik untuk setiap acara ke stdout |
7 | es_bulk Ini digunakan untuk mengonversi data massal dari Elasticsearch menjadi peristiwa Logstash termasuk metadata Elasticsearch |
8 | graphite Codec ini membaca data dari grafit menjadi peristiwa dan mengubah peristiwa menjadi rekaman berformat grafit |
9 | gzip_lines Plugin ini digunakan untuk menangani data yang dikodekan dengan gzip |
10 | json Ini digunakan untuk mengonversi satu elemen dalam larik Json menjadi acara Logstash tunggal |
11 | json_lines Ini digunakan untuk menangani data Json dengan pembatas baris baru |
12 | line Itu plugin akan membaca dan menulis acara dalam satu live, itu berarti setelah pembatas baris baru akan ada acara baru |
13 | multiline Ini digunakan untuk mengubah data pencatatan multiline menjadi satu peristiwa |
14 | netflow Plugin ini digunakan untuk mengonversi data nertflow v5 / v9 menjadi acara logstash |
15 | nmap Ini mem-parsing data hasil nmap ke dalam format XML |
16 | plain Ini membaca teks tanpa pembatas |
17 | rubydebug Plugin ini akan menulis event Logstash keluaran menggunakan perpustakaan cetak Ruby yang mengagumkan |
Bangun Plugin Anda Sendiri
Anda juga dapat membuat Plugin Anda sendiri di Logstash, yang menyesuaikan kebutuhan Anda. Utilitas Logstash-plugin digunakan untuk membuat Plugin kustom. Di sini, kami akan membuat plugin filter, yang akan menambahkan pesan khusus di acara.
Hasilkan Struktur Dasar
Seorang pengguna dapat membuat file yang diperlukan dengan menggunakan opsi generate dari utilitas logstash-plugin atau juga tersedia di GitHub.
>logstash-plugin generate --type filter --name myfilter --path c:/tpwork/logstash/lib
Sini, typePilihan yang digunakan untuk menentukan plugin adalah Input, Output atau Filter. Dalam contoh ini, kami membuat plugin filter bernamamyfilter. Opsi jalur digunakan untuk menentukan jalur, di mana Anda ingin direktori plugin Anda dibuat. Setelah menjalankan perintah yang disebutkan di atas, Anda akan melihat bahwa struktur direktori dibuat.
Kembangkan Plugin
Anda dapat menemukan file kode plugin di \lib\logstash\filtersfolder di direktori plugin. Ekstensi file akan menjadi.rb.
Dalam kasus kami, file kode terletak di dalam jalur berikut -
C:\tpwork\logstash\lib\logstash-filter-myfilter\lib\logstash\filters\myfilter.rb
Kami mengubah pesan menjadi - default ⇒ "Hai, Anda mempelajari ini di tutorialspoint.com" dan simpan file.
Pasang Plugin
Untuk menginstal plugin ini, Gemfile dari Logstash perlu dimodifikasi. Anda dapat menemukan file ini di direktori instalasi Logstash. Dalam kasus kami, itu akan masukC:\tpwork\logstash. Edit file ini menggunakan editor teks apa saja dan tambahkan teks berikut di dalamnya.
gem "logstash-filter-myfilter",:path => "C:/tpwork/logstash/lib/logstash-filter-myfilter"
Pada perintah di atas, kami menentukan nama plugin bersama dengan di mana kami dapat menemukannya untuk instalasi. Kemudian, jalankan utilitas Logstash-plugin untuk menginstal plugin ini.
>logstash-plugin install --no-verify
Menguji
Di sini, kami menambahkan myfilter di salah satu contoh sebelumnya -
logstash.conf
File konfigurasi Logstash ini berisi myfilter di bagian filter setelah plugin filter grok.
input {
file {
path => "C:/tpwork/logstash/bin/log/input1.log"
}
}
filter {
grok {
match => [
"message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid} -
%{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?" ]
}
myfilter{}
}
output {
file {
path => "C:/tpwork/logstash/bin/log/output1.log"
codec => rubydebug
}
}
Run logstash
Kita bisa menjalankan Logstash dengan menggunakan perintah berikut.
>logstash –f logsatsh.conf
input.log
Blok kode berikut menunjukkan data log masukan.
INFO - 48566 - TRANSACTION_START - start
output.log
Blok kode berikut menunjukkan data log keluaran.
{
"path" => "C:/tpwork/logstash/bin/log/input.log",
"@timestamp" => 2017-01-07T06:25:25.484Z,
"loglevel" => "INFO",
"logger" => "TRANSACTION_END",
"@version" => "1",
"host" => "Dell-PC",
"label" => "end",
"message" => "Hi, You are learning this on tutorialspoint.com",
"taskid" => "48566",
"tags" => []
}
Publikasikan di Logstash
Pengembang juga dapat mempublikasikan plugin kustomnya ke Logstash dengan menguploadnya di github dan mengikuti langkah standar yang ditentukan oleh Elasticsearch Company.
Silakan lihat URL berikut untuk informasi lebih lanjut tentang penerbitan -
https://www.elastic.co/guide/en/logstash/current/contributing-to-logstash.html