Logstash配置文件介绍
Logstash配置文件有两种,分别是pipeline配置文件和setting配置文件。
Pipeline配置文件主要定义logstash使用的插件以及每个插件的设置,定义完成后使用 -f 参数来指定该配置文件。
如以下定义的一个简单的配置文件:
input { stdin { } }
output {
elasticsearch { hosts => ["localhost:9200"] }
stdout { codec => rubydebug }
}
该配置文件使用两个插件,分别是 input 和 output。然后使用启动 logstash 时,使用 -f 参数来指定配置文件。
Pipeline配置文件结构:
input {
...
} filter {
...
} output {
...
}
Input:
Input支持多种输入事件源,常用输入源如下:
1、beats:
Logstash从beats组件中获取数据
input {
beats {
port => 5044
}
} output {
elasticsearch {
hosts => "localhost:9200"
manage_template => false
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
document_type => "%{[@metadata][type]}"
}
}
以上配置中,logstash在5044端口监听从beats组件中传来的数据源。beats组件在输出给logstash中配置logstash的主机ip和5044端口。
2、elasticsearch:
Logstash从elasticsearch中获取数据
input {
elasticsearch {
hosts => "localhost"
query => '{ "query": { "match": { "statuscode": 200 } }, "sort": [ "_doc" ] }'
}
}
以上配置中,从elasticsearch中查询数据,然后作为数据源输入到logstash。
3、file:
Logstash从文本文件中获取数据
path => "/var/log/*"
直接在 path 中指定文本文件的位置,支持通配。
4、支持多种输入源类型......