本文为您介绍如何创建Logstash采集配置和处理配置。
logstash-input-file插件以tail方式采集日志,详情请参见logstash-input-file。
logstash-output-logservice插件将采集到的日志进行处理并上传到日志服务。
请根据实际情况,替换logstash-2.2.2-win。您可以为每种日志创建一个配置文件,格式为*.conf。
请根据实际情况,配置如下信息(input为采集配置,详情配置请参见Logstash官方文档,output为处理配置),并添加到配置文件中。
input {
file {
type => "iis_log_1"
path => ["C:/inetpub/logs/LogFiles/W3SVC1/*.log"]
start_position => "beginning"
}
}
filter {
if [type] == "iis_log_1" {
#ignore log comments
if [message] =~ "^#" {
drop {}
}
grok {
# check that fields match your IIS log settings
match => ["message", "%{TIMESTAMP_ISO8601:log_timestamp} %{IPORHOST:site} %{WORD:method} %{URIPATH:page} %{NOTSPACE:querystring} %{NUMBER:port} %{NOTSPACE:username} %{IPORHOST:clienthost} %{NOTSPACE:useragent} %{NUMBER:response} %{NUMBER:subresponse} %{NUMBER:scstatus} %{NUMBER:time_taken}"]
}
date {
match => [ "log_timestamp", "YYYY-MM-dd HH:mm:ss" ]
timezone => "Etc/UTC"
}
useragent {
source=> "useragent"
prefix=> "browser"
}
mutate {
remove_field => [ "log_timestamp"]
}
}
}
output {
if [type] == "iis_log_1" {
logservice {
codec => "json"
endpoint => "***"
project => "***"
logstore => "***"
topic => ""
source => ""
access_key_id => "***"
access_key_secret => "***"
max_send_retry => 10
}
}
}| 参数 | 说明 |
|---|---|
| endpoint | 日志服务的服务入口。 |
| project | 日志服务Project。 |
| logstore | 日志服务Logstore。 |
| topic | 日志主题。 |
| source | 日志来源。如果为空,则自动取本机IP地址。 |
| access_key_id | 阿里云账号的AccessKey ID。 |
| access_key_secret | 阿里云账号的AccessKey Secret。 |
| max_send_retry | 数据包发送到日志服务发生异常时的最大重试次数,重试不成功的数据包会被丢弃,重试间隔为200毫秒。 |
在PowerShell中启动logstash.bat,logstash进程会在前台工作,一般用于配置测试和采集调试。建议调试通过后,把Logstash设置为Windows服务。可以保持后台运行以及开机自启动。详情请参见设置Logstash为Windows服务。
在文档使用中是否遇到以下问题
更多建议
匿名提交