Logstash—input模块
1.标准输入 stdin
input { stdin { add_field:向输入数据中增加字段 codec:编解码 enable_metric:接受性能指标的值 id:标识符 tags:标记 type:增加type字段 } } ########################################## input { stdin { add_field=>{"current_time"=>"@timestamp"} codec=>"json" tags:["stdin-input"] type:"stdin" } }
2.文件 file
input { file { path:绝对路径 add_field:向输入数据中增加字段 close_older:关闭最后修改时间比设定时间还要久的输入文件 codec:编解码 delimiter:识别文件中不同行的分隔符 discover_interval:定义搜索间隔值 enable_metric:接受测度值,用于插件报告 exclude:排除不做为输入的文件或文件模式 id:标识符 ignore_older:忽略某个时间以来未被修改的文件 max_open_files:定义同时打开最大的文件数 sincedb_path:定义sincedb位置 sincedb_write_interval:确认sincedb文件的时间间隔 start_position:从begining到end,定义从哪里开始读取文件 start_interval:检车文件是否被修改过 tags:标记 type:增加type字段 } } ########################################## input { file { path=>["/var/log/elasticsearch/*","/var/message/*.log"] add_field=>["[location]","%{longitude}"] add_field=>["[location]","%{latitude}"] exclude=>["*.txt"] start_position=>"begining" tags=>["file-input"] type=>"filelogs" } } #可分割为两个文件 input { file { path=>["/var/log/elasticsearch/*"] tags=>["elasticsearch"] type=>"elasticsearch" } file { path=>["/var/message/*.log"] tags=>["message"] type=>"message" } }
3.UDP
input { upd { port:端口 add_field:向输入数据中增加字段 buffer_size:最大数据包大小 codec:编解码 enable_metric:接受测度值,用于插件报告 host:主机名称 id:标识符 queue_size:驻留内存中未处理的数据包最大数目 receive_size:接受缓存大小 tags:标记 type:增加type字段 workers:线程数量 } } ########################################## input { upd { host=>"192.168.0.6" port=>5000 workers=>4 } }
天道酬勤 循序渐进 技压群雄