1、Logstash的工作原理

1. input（输入）：负责抽取数据源的数据，这个过程一般需要包含数据源的连接方式、通信协议和抽取间隔等信息，目的是将原始数据源源不断地接入数据管道。

2. filter（过滤）：将抽取到数据管道的数据按照业务逻辑的需要进行数据转换，例如添加或删除部分字段、修改部分字段的数据内容等。

3. output（输出）：将过滤后的数据写入数据的目的地，在大多数情况下，数据会被写入Elasticsearch的索引，你也可以编写配置把数据写入文件或其他地方。

2、Logstash的安装和目录结构

• bin目录：包含各种二进制形式的可执行脚本，例如Logstash的启动脚本、插件的安装脚本。

• config目录：包含各种Logstash的配置文件。

• data目录：是Logstash脚本执行时默认的数据目录。

• lib目录：包含Logstash运行时的库文件。

• logs目录：包含Logstash运行时产生的日志文件。

• logstash-core目录：包含Logstash的关键组件。

• logstash-core-plugin-api目录：包含Logstash的插件API。

• modules目录：包含Logstash拥有的模块文件。

• tools目录：包含Logstash运行时可用的工具组件。

• vendor目录：包含Logstash运行时依赖的Ruby环境。

• x-pack目录：包含Logstash的X-Pack插件扩展内容。要验证Logstash是否安装成功，需要从cmd进入Logstash的根目录，执行以下命令，若能看到命令行输出Logstash的版本号则说明安装成功。

3、Logstash的重要配置

3.1 logstash.yml

3.2 jvm.options

3.3 pipelines.yml

4、Logstash采集脚本

4.1 Logstash采集脚本结构

• 在input部分使用了file文件插件，它可以定期读取path路径配置的文本文件的新增内容到数据管道，从而完成对日志数据的采集。注意，即使是在Windows平台上，path的路径分隔符也要使用“/”而不是“\”。start_position设置为beginning表示第一次从头开始读取日志文件，如果不进行此设置，则默认file-input插件只读取新增的日志记录。

• 在filter部分添加了一个Grok插件，将数据流的message字段按照COMBINEDAPACHELOG的格式解析成多个结构化的字段。解析之后message字段仍然默认会存在。对于上面的日志文本，Grok插件解析后的格式数据如图所示。

• 在output部分，rubydebug编解码器可以将数据管道的每个字段输出到控制台上，方便开发人员调试和监控数据内容。另外还添加了Elasticsearch的输出目的地，表示将数据流写入索引。其中hosts用于配置Elasticsearch的地址，index用于配置数据写入的索引名称，action为“index”代表写入行为是建索引。

4.2 启动Logstash

4.3 同一个采集脚本指定多个 input/output

5、Logstash插件

5.1 grok插件

5.1.1 grok 插件介绍

• 模式名 - 指的就是预先定义好的正则表达式的别名，例如：IP 可以匹配ip内容。

• 自定义字段名 - 通过模式匹配到内容后，将内容保存到这个自定义的字段中

• %{IP:client} - 匹配IP内容，结果保存到client字段

• %{WORD:method} - 匹配非空字符串内容，结果保存到method字段

• %{URIPATHPARAM:request} - 匹配url路径，结果保存到request字段

• %{NUMBER:bytes} - 匹配数字，结果保存到bytes字段

5.1.2 自定义grok模式

• NAME - 模式名

• PATTERN - 表达式，包括正则表达式和 logstash 变量。

5.1.3 在线调试grok

5.2 date插件

5.3 mutate插件

5.3.1 删除字段

5.3.2 正则表达式替换匹配字段

5.3.3 分隔符分割字符串为数组

5.3.4 重命名字段

5.4 multiline codec插件