日誌監控_ElasticStack-0002.Logstash編碼插件及實際生產案例應用?

新版插件:

---

說明: 從5.0開始,插件都獨立拆分紅gem包,每一個插件可獨立更新,無需等待Logstash自身總體更新,具體管理命令可參考./bin/logstash-plugin --help幫助信息../bin/logstash-plugin list其實全部的插件就位於本地./vendor/bundle/jruby/1.9/gems/目錄下

擴展: 若是GitHub上面(https://github.com/logstash-plugins/)發佈了擴展插件,可經過./bin/logstash-plugin install <plugin-name>,固然升級也很方便./bin/logstash-plugin update <plugin-name>,若是要安裝更新本地已有的插件可經過./bin/logstash-plugin install/update <plugin-path>便可.

注意: 默認./bin/logstash-plugin install/update時是到https://rubygems.org/下載包,速度很是慢,因此強烈推薦手動從https://github.com/logstash-plugins/或https://rubygems.org/下載下來更新

解碼插件: https://www.elastic.co/guide/en/logstash/current/codec-plugins.html

---

說明: 編碼插件可用於input/output區段中,能夠改變事件的數據表示,以前版本只支持純文本輸入,如今可輸入期處理不一樣類型的數據,數據流變爲input | decode | filter | encode | output,codec的出現,使得更方便的與其它自定義數據格式的運維產品共存,支持如上列表中全部的插件

插件名稱: json(https://www.elastic.co/guide/en/logstash/current/plugins-codecs-json.html)

---

input {
    file {
        path => ["/xm-workspace/xm-webs/xmcloud/logs/*.log"]
        type => "dss-pubserver"
codec => json
        start_position => "beginning"
    }
}
output{
    stdout{
        codec => rubydebug
    }
}

---

說明: 不少時候爲了下降過濾器的CPU負載,會直接輸入預約義的Json數據,這樣能夠省略掉filter/grok配置,對於web服務器apache/nginx的訪問日誌能夠很好的工做,不過若是做爲代理服務器運行時,訪問日誌中有些變量如$upstream_response_time可能不是數字而是"-",致使輸入數據驗證異常,能夠加雙引號,也能夠經過input插件的stdin從終端讀取sed替換後導入.

---

插件名稱: multilline(https://www.elastic.co/guide/en/logstash/current/plugins-codecs-multiline.html)

input {
    stdin {
        codec => multiline {
            patterns_dir => ["/xm-workspace/xm-apps/logstash/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-4.0.2/patterns"]
            pattern => "^%{YEAR}/%{MONTHNUM2}/%{MONTHDAY} %{TIME}"
            negate => true
            what => "previous"
        }
    }
}
output{
    stdout{
        codec => rubydebug
    }
}

生產案例:

2016/07/09 10:19:49 [notice] 32715#0: start worker process 32717
2016/07/09 10:20:19 [error] 32716#0: *1 lua entry thread aborted: runtime error: ...stTool/test/Openresty/authserver_lua/lua/auth-server.lua:387: attempt to index upvalue 'lua_url' (a boolean value)
stack traceback:
coroutine 0:
...stTool/test/Openresty/authserver_lua/lua/auth-server.lua: in function 'process_msg'
...stTool/test/Openresty/authserver_lua/lua/auth-server.lua:423: in function <...stTool/test/Openresty/authserver_lua/lua/auth-server.lua:2>, client: 10.2.5.51, server: , request: "POST /webservice/c928/%E4%B8%8A%E8%99%9E%E9%9C%87%E8%BF%9C&1468030819562&e118f0d7aca5a0de1abadb94866173a4& HTTP/1.1", host: "10.2.5.51:9902"
2016/07/09 10:24:24 [notice] 32715#0: signal 15 (SIGTERM) received, exiting

---

說明: 不少時候程序調試日誌會包含豐富內容,爲一個事件打印出不少行內容,可經過在輸入中經過codec的multiline預多行處理,因爲Logstash默認自帶很是多的正則,可經過patterns_dir以數組的形式加載自帶的或自定義的正則目錄,它會自動掃描並加載目錄下的正則文件,pattern指定正則表達式,negate和what配合使用表示當不匹配pattern時,此行屬於前行,以此來累計直到匹配pattern的行結束做爲一行內容.

擴展: 應用日誌經常會用到Log4j,對於此類型日誌雖然可經過codec=>multiline實現,但其實Logstash還提供了另外一種input=>log4j(https://www.elastic.co/guide/en/logstash/current/plugins-inputs-log4j.html),可直接處理TCP端口接收的數據.

---

插件名稱: (https://www.elastic.co/guide/en/logstash/current/plugins-codecs-netflow.html)

input {
udp {
port => 9995
codec => netflow {
definitions => "/xm-workspace/xm-apps/logstash/vendor/bundle/jruby/1.9/gems/logstash-codec-netflow-3.1.2/lib/logstash/codecs/netflow/netflow.yaml"
versions => [5]
}
    }
}
output {
stdout { 
codec => rubydebug 
}
}

---

說明: NetFlow是Cisco創造的數據交換格式,經常使用於收集路由器等設備的NetFlow網絡流量數據以便對數據進一步分析,Logstash codec=>netflow須要指定definitions默認包含定義的標準netflow字段文件,versions目前支持5/9版.