Logstash学习系列之基础介绍

Logstash功能特性

能集中处理各种类型的数据

能标准化不同模式和格式的数据

能快速的扩展自定义日志的格式

它具有收集,分析和转发数据流的功能

Logstash运行参数

-f                     指定配置文件
-e                     用于指定字符串输入
-w                     指定filterworkers的数量,默认为1,指定logstash的工作线程数
-l                     指定logstash的默认日志写入到一个文件中,默认为控制台输出
-v                     设置同时输出info和debug级别的日志,已经弃用
--quiet                静默模式,仅仅只有error级别信息的输出
--verbose              info级别的log输出
--debug                debug级别的日志输出
--v                    查看logstash版本
-p                     可以写自己的插件,然后指定路径使用它们
-t                     用来测试logstash读取到的配置文件语法是否能正常解析

Logstash配置语法

logstash处理流程

input-->decode-->filter-->encode-->output

logstash语法格式

区域

logstash中,使用{}来定义区域的
区域内,我们可以定义插件
一个区域内是可以定义多个插件

数据类型

布尔boolean:        ssl_enable=>true
字节Bytes:        my_bytes=>"10Mib"
字符串String:     name=>"zhang san"
Number:         port=>514
数组Array:         match=>["datetime","UNIX","ISO8601"]
哈希Hash:
options=>{
key1=>"value1"
key2=>"value2"
}
编码解码:            codec: codec=>"json"
密码型:            my_password=>"passowrd"
路径:            my_path=>"/tmp/logstash"
注释:            #

条件判断

==(等于),!=(不等于),<(小于),>(大于),<=(小于等于),>=(大于等于)
=~(匹配正则),!~(不匹配正则)
in(包含),not in(不包容)
and(与),or(或),nand(非与),xor(非与)
():复合表达式,!():对复合表达式取反
判断
if EXPRESSION {
...
} else if EXPRESSION {
...
} else {
...
}

字段引用

logstash还支持引用其他地方的值
output {
statsd {
increment => "apache%{[response][status]}"
}
}