Jak obsłużyć wiele heterogenicznych danych wejściowych za pomocą Logstash?

Question 1

Załóżmy, że masz 2 bardzo różne typy dzienników, takie jak dzienniki techniczne i biznesowe, i chcesz:

surowe logi techniczne są kierowane do serwera graylog2 za pomocą gelfwyjścia,
Dzienniki biznesowe json są przechowywane w klastrze Flexiblesearch przy użyciu dedykowanych elasticsearch_httpdanych wyjściowych.

Wiem, że Syslog-NGna przykład plik konfiguracyjny pozwala zdefiniować kilka różnych danych wejściowych, które następnie mogą być przetwarzane oddzielnie przed wysłaniem; co Logstashwydaje się niemożliwe. Nawet jeśli jedną instancję można zainicjować za pomocą dwóch określonych plików konfiguracyjnych, wszystkie dzienniki mają ten sam kanał i są przetwarzane w ten sam sposób ...

Czy powinienem uruchamiać tyle instancji, ile mam różnych typów dzienników?

Question 2

Czy powinienem uruchamiać tyle instancji, ile mam różnych typów dzienników?

Nie! Możesz uruchomić tylko jedną instancję do obsługi różnych typów dzienników.

W pliku konfiguracyjnym logstash możesz określić każde wejście innym typem . Następnie w filtrze możesz użyć if, aby odróżnić różne przetwarzanie, a także na wyjściu możesz użyć wyjścia "if" do innego miejsca docelowego.

input {
    file {
            type => "technical"
            path => "/home/technical/log"
    }
    file {
            type => "business"
            path => "/home/business/log"
    }
} 
filter {
    if [type] == "technical" {
            # processing .......
    }
    if [type] == "business" {
            # processing .......
    }
}
output {
    if [type] == "technical" {
            # output to gelf
    }
    if [type] == "business" {
            # output to elasticsearch
    }
}

Mam nadzieję, że to ci pomoże :)

Question 3

Użyłem tagów do wprowadzania wielu plików:

input {
    file {
        type => "java"
        path => "/usr/aaa/logs/stdout.log"
        codec => multiline {
            ...
        },
        tags => ["aaa"]
    }

    file {
        type => "java"
        path => "/usr/bbb/logs/stdout.log"
        codec => multiline {
                ...
        }
        tags => ["bbb"]
    }
}
output {
    stdout {
        codec => rubydebug
    }
    if "aaa" in [tags] {
        elasticsearch {
            hosts => ["192.168.100.211:9200"]
            index => "aaa"
            document_type => "aaa-%{+YYYY.MM.dd}"
        }
    }

    if "bbb" in [tags] {
        elasticsearch {
            hosts => ["192.168.100.211:9200"]
            index => "bbb"
            document_type => "bbb-%{+YYYY.MM.dd}"
        }
    }
}

Question 4

Myślę, że logstash nie może odczytać więcej niż 2 plików w sekcji Input. spróbuj poniżej

input {
    file {
            type => "technical"
            path => "/home/technical/log"
    }
    file {
            type => "business"
            path => "/home/business/log"
    }
 file {
            type => "business1"
            path => "/home/business/log1"
    }
}

Answer 1

Załóżmy, że masz 2 bardzo różne typy dzienników, takie jak dzienniki techniczne i biznesowe, i chcesz:

surowe logi techniczne są kierowane do serwera graylog2 za pomocą gelfwyjścia,
Dzienniki biznesowe json są przechowywane w klastrze Flexiblesearch przy użyciu dedykowanych elasticsearch_httpdanych wyjściowych.

Wiem, że Syslog-NGna przykład plik konfiguracyjny pozwala zdefiniować kilka różnych danych wejściowych, które następnie mogą być przetwarzane oddzielnie przed wysłaniem; co Logstashwydaje się niemożliwe. Nawet jeśli jedną instancję można zainicjować za pomocą dwóch określonych plików konfiguracyjnych, wszystkie dzienniki mają ten sam kanał i są przetwarzane w ten sam sposób ...

Czy powinienem uruchamiać tyle instancji, ile mam różnych typów dzienników?

Answer 2

2

Powinieneś zaakceptować poprawną odpowiedź Bena Lima!

Ben Wheeler,

Answer 3

191

Czy powinienem uruchamiać tyle instancji, ile mam różnych typów dzienników?

Nie! Możesz uruchomić tylko jedną instancję do obsługi różnych typów dzienników.

W pliku konfiguracyjnym logstash możesz określić każde wejście innym typem . Następnie w filtrze możesz użyć if, aby odróżnić różne przetwarzanie, a także na wyjściu możesz użyć wyjścia "if" do innego miejsca docelowego.

input {
    file {
            type => "technical"
            path => "/home/technical/log"
    }
    file {
            type => "business"
            path => "/home/business/log"
    }
} 
filter {
    if [type] == "technical" {
            # processing .......
    }
    if [type] == "business" {
            # processing .......
    }
}
output {
    if [type] == "technical" {
            # output to gelf
    }
    if [type] == "business" {
            # output to elasticsearch
    }
}

Mam nadzieję, że to ci pomoże :)

Ben Lim
źródło

1

Możesz również użyć typeatrybutu (z tą samą type => "value"składnią) w definicjach filtru i danych wyjściowych, co powinno nieco zmniejszyć dodatkowe formatowanie w pliku konfiguracyjnym. Przykład: gist.github.com/fairchild/3030472 Zgodnie z dokumentacją: Dodaj pole „typ” do wszystkich zdarzeń obsługiwanych przez to wejście. Typy są używane głównie do aktywacji filtrów. Typ jest przechowywany jako część samego zdarzenia, więc możesz również użyć typu, aby wyszukać go w interfejsie internetowym.

Tony Cesaro,

5

Cóż, wygląda na to, że to, co dostarczył Ben, jest w rzeczywistości nowym sposobem na zrobienie tego. Kiedy użyłem type => "value"w danych wyjściowych, pojawił się następujący komunikat: „Używasz przestarzałego ustawienia konfiguracji„ typ ”ustawionego w stdout. Przestarzałe ustawienia będą nadal działać, ale są zaplanowane do usunięcia z logstash w przyszłości. Możesz to osiągnąć to samo zachowanie z nowymi warunkami, takimi jak:. if [type] == "sometype" { stdout { ... } }" Cofam swój poprzedni komentarz. :)

Tony Cesaro

Zwróć uwagę, że typeatrybut nie będzie miał zastosowania, jeśli w danych wejściowych istnieje już pole typu. Jest to specjalny atrybut, który nie zastępuje i jest udokumentowany. Otworzyłem bilet w Elastic i zalecili mi użycie tagslub add_fieldzamiasttype

BornToCode

@BornToCode, nie całkiem rozumiem. Chcesz powiedzieć, że coś jest nie tak z kodem Bena? Albo że nie zadziała, jeśli ścieżki dziennika były tym samym plikiem? Jaki jest scenariusz, w którym to nie działa?

Ben Wheeler,

2

@BenLim OP nie zaakceptował Twojej odpowiedzi, ale uznałem ją za najbardziej pomocną i pozytywnie Cię zagłosował.

bigbadmouse

Answer 4

1

Możesz również użyć typeatrybutu (z tą samą type => "value"składnią) w definicjach filtru i danych wyjściowych, co powinno nieco zmniejszyć dodatkowe formatowanie w pliku konfiguracyjnym. Przykład: gist.github.com/fairchild/3030472 Zgodnie z dokumentacją: Dodaj pole „typ” do wszystkich zdarzeń obsługiwanych przez to wejście. Typy są używane głównie do aktywacji filtrów. Typ jest przechowywany jako część samego zdarzenia, więc możesz również użyć typu, aby wyszukać go w interfejsie internetowym.

Tony Cesaro,

Answer 5

5

Cóż, wygląda na to, że to, co dostarczył Ben, jest w rzeczywistości nowym sposobem na zrobienie tego. Kiedy użyłem type => "value"w danych wyjściowych, pojawił się następujący komunikat: „Używasz przestarzałego ustawienia konfiguracji„ typ ”ustawionego w stdout. Przestarzałe ustawienia będą nadal działać, ale są zaplanowane do usunięcia z logstash w przyszłości. Możesz to osiągnąć to samo zachowanie z nowymi warunkami, takimi jak:. if [type] == "sometype" { stdout { ... } }" Cofam swój poprzedni komentarz. :)

Tony Cesaro

Answer 6

Zwróć uwagę, że typeatrybut nie będzie miał zastosowania, jeśli w danych wejściowych istnieje już pole typu. Jest to specjalny atrybut, który nie zastępuje i jest udokumentowany. Otworzyłem bilet w Elastic i zalecili mi użycie tagslub add_fieldzamiasttype

BornToCode

Answer 7

@BornToCode, nie całkiem rozumiem. Chcesz powiedzieć, że coś jest nie tak z kodem Bena? Albo że nie zadziała, jeśli ścieżki dziennika były tym samym plikiem? Jaki jest scenariusz, w którym to nie działa?

Ben Wheeler,

Answer 8

2

@BenLim OP nie zaakceptował Twojej odpowiedzi, ale uznałem ją za najbardziej pomocną i pozytywnie Cię zagłosował.

bigbadmouse

Answer 9

Użyłem tagów do wprowadzania wielu plików:

input {
    file {
        type => "java"
        path => "/usr/aaa/logs/stdout.log"
        codec => multiline {
            ...
        },
        tags => ["aaa"]
    }

    file {
        type => "java"
        path => "/usr/bbb/logs/stdout.log"
        codec => multiline {
                ...
        }
        tags => ["bbb"]
    }
}
output {
    stdout {
        codec => rubydebug
    }
    if "aaa" in [tags] {
        elasticsearch {
            hosts => ["192.168.100.211:9200"]
            index => "aaa"
            document_type => "aaa-%{+YYYY.MM.dd}"
        }
    }

    if "bbb" in [tags] {
        elasticsearch {
            hosts => ["192.168.100.211:9200"]
            index => "bbb"
            document_type => "bbb-%{+YYYY.MM.dd}"
        }
    }
}

Answer 10

Jest to lepsze niż akceptowana odpowiedź: pozwala na wiele danych wejściowych filebeat w logstash. W takich przypadkach właściwość „type” jest ustawiona na „log” i nie można jej modyfikować.

Régis B.

Answer 11

Ale czy to nie jest nadpisywanie tagów ostatnim tagiem (bbb)? Z drugiej strony, w if statememt, gdyby tagi były tablicą lub pojedynczym ciągiem znaków, wtedy oba IF działałyby. Więc logicznie jest to niepoprawne, ale może logstash ma inną logikę wewnątrz if

meso_2600

Answer 12

Myślę, że logstash nie może odczytać więcej niż 2 plików w sekcji Input. spróbuj poniżej

input {
    file {
            type => "technical"
            path => "/home/technical/log"
    }
    file {
            type => "business"
            path => "/home/business/log"
    }
 file {
            type => "business1"
            path => "/home/business/log1"
    }
}

Answer 13

Tak,

napotkam ten

Jak obsłużyć wiele heterogenicznych danych wejściowych za pomocą Logstash?

Odpowiedzi: