Logstash-내부 아키텍처

이 장에서는 Logstash의 내부 아키텍처 및 다양한 구성 요소에 대해 설명합니다.

Logstash 서비스 아키텍처

Logstash는 서로 다른 서버 및 데이터 소스의 로그를 처리하며 배송 업체로 작동합니다. 발송인은 로그를 수집하는 데 사용되며 모든 입력 소스에 설치됩니다. 같은 브로커Redis, Kafka 또는 RabbitMQ 인덱서 용 데이터를 보관하는 버퍼이며 장애 조치 된 인스턴스로 둘 이상의 브로커가있을 수 있습니다.

인덱서 Lucene더 나은 검색 성능을 위해 로그를 인덱싱하는 데 사용되며 출력은 Elasticsearch 또는 기타 출력 대상에 저장됩니다. 출력 저장소의 데이터는 Kibana 및 기타 시각화 소프트웨어에서 사용할 수 있습니다.

Logstash 내부 아키텍처

Logstash 파이프 라인은 세 가지 구성 요소로 구성됩니다. Input, FiltersOutput. 입력 부분은 로그 폴더와 같은 입력 데이터 소스를 지정하고 액세스 할 책임이 있습니다.Apache Tomcat Server.

Logstash 파이프 라인을 설명하는 예

Logstash 구성 파일에는 Logstash의 세 가지 구성 요소에 대한 세부 정보가 포함되어 있습니다. 이 경우, 우리는Logstash.conf.

다음 구성은 입력 로그 "inlog.log"에서 데이터를 캡처하여 필터없이 출력 로그 "outlog.log"에 기록합니다.

Logstash.conf

Logstash 구성 파일은 inlog.log 입력 플러그인을 사용하여 파일을 작성하고 로그 데이터를 outlog.log 출력 플러그인을 사용하여 파일.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/inlog.log"
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/outlog.log"
   }
}

Logstash 실행

Logstash 사용 –f 구성 파일을 지정하는 옵션.

C:\logstash\bin> logstash –f logstash.conf

inlog.log

다음 코드 블록은 입력 로그 데이터를 보여줍니다.

Hello tutorialspoint.com

outlog.log

Logstash 출력에는 메시지 필드의 입력 데이터가 포함됩니다. Logstash는 또한 타임 스탬프, 입력 소스 경로, 버전, 호스트 및 태그와 같은 다른 필드를 출력에 추가합니다.

{
   "path":"C:/tpwork/logstash/bin/log/inlog1.log",
   "@timestamp":"2016-12-13T02:28:38.763Z",
   "@version":"1", "host":"Dell-PC",
   "message":" Hello tutorialspoint.com", "tags":[]
}

가능한 한 Logstash의 출력에는 입력 로그를 통해 제공된 데이터보다 더 많은 데이터가 포함됩니다. 출력에는 오류와 같은 추가 메시지를 나타내는 데 사용되는 소스 경로, 타임 스탬프, 버전, 호스트 이름 및 태그가 포함됩니다.

필터를 사용하여 데이터를 처리하고 필요에 맞게 유용하게 만들 수 있습니다. 다음 예에서는 필터를 사용하여 데이터를 가져옵니다. 이는 출력을 GET 또는 POST와 같은 동사 뒤에 a가있는 데이터로만 제한합니다.Unique Resource Identifier.

Logstash.conf

이 Logstash 구성에서 다음과 같은 필터를 추가합니다. grok입력 데이터를 필터링합니다. 패턴 시퀀스 입력 로그와 일치하는 입력 로그 이벤트는 오류가있는 출력 대상에만 도달합니다. Logstash는 grok 필터 패턴 시퀀스와 일치하지 않는 "_grokparsefailure"라는 태그를 출력 이벤트에 추가합니다.

Logstash는 Apache와 같은 인기있는 서버 로그를 구문 분석하기위한 많은 내장 정규식 패턴을 제공합니다. 여기에 사용 된 패턴은 get, post 등과 같은 동사와 균일 한 리소스 식별자를 예상합니다.

input {
   file {
      path => "C:/tpwork/logstash/bin/log/inlog2.log"
   }
}
filter {
   grok {
      match => {"message" => "%{WORD:verb} %{URIPATHPARAM:uri}"}
   }
}
output {
   file {
      path => "C:/tpwork/logstash/bin/log/outlog2.log"
   }
}

Logstash 실행

다음 명령을 사용하여 Logstash를 실행할 수 있습니다.

C:\logstash\bin> logstash –f  Logstash.conf

inlog2.log

입력 파일에는 기본 구분 기호로 구분 된 두 개의 이벤트가 있습니다. 즉, 새 줄 구분 기호입니다. 첫 번째 이벤트는 GROk에 지정된 패턴과 일치하고 두 번째 이벤트는 일치하지 않습니다.

GET /tutorialspoint/Logstash
Input 1234

outlog2.log

두 번째 출력 이벤트에는 grok 필터 패턴과 일치하지 않기 때문에 "_grokparsefailure"태그가 포함되어 있음을 알 수 있습니다. 사용자는 다음을 사용하여 출력에서 ​​이러한 일치하지 않는 이벤트를 제거 할 수도 있습니다.‘if’ 출력 플러그인의 조건.

{
   "path":"C:/tpwork/logstash/bin/log/inlog2.log",
   "@timestamp":"2016-12-13T02:47:10.352Z","@version":"1","host":"Dell-PC","verb":"GET",
   "message":"GET /tutorialspoint/logstash", "uri":"/tutorialspoint/logstash", "tags":[]
}
{
   "path":"C:/tpwork/logstash/bin/log/inlog2.log",
   "@timestamp":"2016-12-13T02:48:12.418Z", "@version":"1", "host":"Dell-PC",
   "message":"t 1234\r", "tags":["_grokparsefailure"]
}