elkjava

⑴ logstash filter的使用方法

Logstash是一個接收，處理，轉發日誌的工具。支持系統日誌，webserver日誌，錯誤日誌，應用日誌，總之包括所有可以拋出來的日誌類型。

在一個典型的使用場景下(ELK)：用Elasticsearch作為後台數據的存儲，kibana用來前端的報表展示。Logstash在其過程中擔任搬運工的角色，它為數據存儲，報表查詢和日誌解析創建了一個功能強大的管道鏈。Logstash提供了多種多樣的 input,filters,codecs和output組件，讓使用者輕松實現強大的功能。
依賴條件：java
Logstash運行僅僅依賴java運行環境(jre)。各位可以在命令行下運行java -version命令 顯示類似如下結果：java -version
java version "1.7.0_45"
Java(TM) SE Runtime Environment (build 1.7.0_45-b18)
Java HotSpot(TM) 64-Bit Server VM (build 24.45-b08, mixed mode)
為了確保成功運行Logstash建議大家使用較近期的jre版本。 可以獲取開源版本的jre在：http://openjdk.java.net 或者你可以在官網下載Oracle jdk版本：http://www.oracle.com/technetwork/java/index.html 一旦jre已經成功在你的系統中安裝完成，我們就可以繼續了

啟動和運行Logstash的兩條命令示例
第一步我們先下載Logstashcurl -O https://download.elasticsearch.org/logstash/logstash/logstash-1.4.2.tar.gz
現在你應該有了一個叫logstash-1.4.2.tar.gz的文件了。 我們把它解壓一下tar zxvf logstash-1.4.2.tar.gz
cd logstash-1.4.2
現在我們來運行一下：bin/logstash -e 'input { stdin { } } output { stdout {} }'
我們現在可以在命令行下輸入一些字元，然後我們將看到logstash的輸出內容：hello world
2013-11-21T01:22:14.405+0000 0.0.0.0 hello world
Ok,還挺有意思的吧... 以上例子我們在運行logstash中，定義了一個叫"stdin"的input還有一個"stdout"的output，無論我們輸入什麼字元，Logstash都會按照某種格式來返回我們輸入的字元。這里注意我們在命令行中使用了-e參數，該參數允許Logstash直接通過命令行接受設置。這點尤其快速的幫助我們反復的測試配置是否正確而不用寫配置文件。
讓我們再試個更有意思的例子。首先我們在命令行下使用CTRL-C命令退出之前運行的Logstash。現在我們重新運行Logstash使用下面的命令：bin/logstash -e 'input { stdin { } } output { stdout { codec => rubydebug } }'
我們再輸入一些字元，這次我們輸入"goodnight moon"：goodnight moon
{
"message" => "goodnight moon",
"@timestamp" => "2013-11-20T23:48:05.335Z",
"@version" => "1",
"host" => "my-laptop"}
以上示例通過重新設置了叫"stdout"的output(添加了"codec"參數)，我們就可以改變Logstash的輸出表現。類似的我們可以通過在你的配置文件中添加或者修改inputs、outputs、filters，就可以使隨意的格式化日誌數據成為可能，從而訂制更合理的存儲格式為查詢提供便利。

使用Elasticsearch存儲日誌
現在，你也許會說："它看起來還挺高大上的，不過手工輸入字元，並把字元從控制台回顯出來。實際情況並不實用"。說的好，那麼接下來我們將建立Elasticsearch來存儲輸入到Logstash的日誌數據。如果你還沒有安裝Elasticsearch，你可以下載RPM/DEB包或者手動下載tar包，通過以下命令：curl -O https://download.elasticsearch.org/elasticsearch/elasticsearch/elasticsearch-1.1.1.tar.gz
tar zxvf elasticsearch-1.1.1.tar.gz
cd elasticsearch-1.1.1/
./bin/elasticsearch