在[url=學習筆記(一)【原創】[/url]中,介紹了logstash的入門,本文再對logstash進行分析,並將日誌匯入es中。
[b]1. input[/b]
input 有很多種, 如stdin, file, log4j 等。這裡只著重分析file, 下次在分析log4j.
input
path => ["/usr/local/apache-tomcat-gtw/logs/catalina.*"]
start_position => "beginning"
discover_interval => 2
sincedb_path => "/usr/share/logstash/conf/logstash_gateway/config/tomcat_sincedb.txt"
sincedb_write_interval => 2}}
codec 使用多行模式分割日誌
path 日誌路徑
start_position 表示從頭開始
discover_interval 每兩秒去掃瞄資料夾是否有日誌檔案變化
sincedb_path 記錄日誌讀取到第幾行
sincedb_write_interval 每兩秒記錄一次位置資訊
[b]2. filter[/b]
gsub 是對message中的進行替換,因為[是用來多行匹配的,在日誌中實際沒作用。
remove_field 移除不需要的字段 @version欄位是logstash自動加的,不需要
grok 採用正則對日誌進行匹配
patterns_dir 正規表示式檔案路徑
% 表示第乙個欄位是時間型別,轉化為datetime field。
後面是根據日誌級別,定義level_code以便報表統計
[b]3.output[/b]
分別輸出到es和控制台
output
stdout}}
hosts 搜尋引擎位址
index 索引名稱
template 模板檔案
template_name 模板檔案中的模板名稱
template_overwrite 設為true,當模板變更時可以更新
flush_size 每次20000再新增索引
idle_flush_time 超過10s,如果還沒到達20000也重新整理索引
原創 shadow ssdt學習筆記 二
三。如何hook 似乎這個問題並不大,shadow ssdt和ssdt本質上都是1個位址表,最為簡單的方法是把你的函式替換位址表的對應項,具體hook 甚至可以完全照抄ssdt的,這裡只說1下幾個偶遇到的小問題 1。win32k.sys不是常在記憶體的,如果不是gui執行緒,shadow ssdt位...
ELK學習筆記(三)
經過在windows環境下的執行 配置logstash時真的很困難,改了一次又一次 今天是在linux下的測試環境下進行實戰。今天的流程如下 filebeat logstash elasticsearch kibana在你建立logstash管道之前,你需要先配置filebeat來傳送日誌行到log...
Git學習筆記 原創
git是原始碼管理工具,與svn比較類似。只是svn一般用於企業內部,管理閉源的專案比較多。git主要基於網際網路的 庫管理,因此使用在開源的場景比較多,當然也可以管理私有的專案。如github,對public的專案 管理是免費的,也支援private的專案,但是是收費的。oschina也提供了gi...