前言

ELK搭建没有难度,难的是logstash的配置文件,logstash主要分为三个部分,input,filter和output。

input,输入源可选的输入源由很多,详情见ELK官网,这里我们说s3作为输入源。

filter,过滤器,logstash可以在input和output中间添加过滤器,可以将数据进行分类、过滤、打标签等操作,将数据格式化。logstash的核心就在此。

output,输出。一般是输出到elasticsearch。

说明:

AWS的ELB日志存储在S3,可以通过logstash的S3插件获取,经过过滤器后,输出到elasticsearch。

ELK的搭建和配置在这里就不说了,看官方文档就行,这里提供一个logstash的配置文件 ,用于抓取和格式化ELB日志。

  1. input {
  2. 	s3 {
  3.         access_key_id => "access_key"
  4.         secret_access_key => "secret_key"
  5.         bucket => "elb_bucket"
  6.         region => "aws_region"
  7.         type => "s3"
  8.     }
  9. }
  10.  
  11. filter {
  12. 	mutate{
  13. 	split => { "message" => " " }
  14. 	add_field => {
  15. 		"log_time" => "%{[message][0]}"
  16. 		}
  17. 	add_field => {
  18. 		"elb_name" => "%{[message][1]}"
  19. 		}
  20. 	add_field => {
  21. 		"client_ip" => "%{[message][2]}"
  22. 		}
  23. 	add_field => {
  24. 		"t1" => "%{[message][4]}"
  25. 		}
  26. 	add_field => {
  27. 		"t2" => "%{[message][5]}"
  28. 		}
  29. 	add_field => {
  30. 		"t3" => "%{[message][6]}"
  31. 		}
  32. 	add_field => {
  33. 		"elb_code" => "%{[message][7]}"
  34. 		}
  35. 	add_field => {
  36. 		"server_code" => "%{[message][8]}"
  37. 		}
  38. 	add_field => {
  39. 		"getpost" => "%{[message][11]}"
  40. 		}
  41. 	add_field => {
  42. 		"url" => "%{[message][12]}"
  43. 		}
  44. 	remove_field => [ "message" ]
  45. 	}
  46. 	mutate {
  47. 	convert => { "t1" => "float" }
  48. 	convert => { "t2" => "float" }
  49. 	convert => { "t3" => "float" }
  50. 	convert => { "elb_code" => "integer" }
  51. 	convert => { "server_code" => "integer" }
  52. 	}
  53. 	grok {
  54. 		break_on_match => false
  55. 		match => { "client_ip" => "%{IPV4:device_ip}" }
  56. 		match => { "url" => "%{URIPROTO:url_head}://%{URIHOST:url_destination}:%{POSINT:url_port}%{URIPATH:url_path}(?:%{URIPARAM:url_param})?" }
  57. 		match => { "getpost" => "%{WORD:get_post}" }
  58. 		remove_field => [ "getpost" ]
  59. 	}
  60. 	mutate{
  61. 	split => { "url_path" => "." }
  62. 	add_field => {
  63. 		"url_api" => "%{[url_path][0]}"
  64. 		}
  65. 	add_field => {
  66. 		"html_ashx" => "%{[url_path][1]}"
  67. 		}
  68. 	}
  69. 	date {
  70. 		match => ["log_time", "ISO8601"]
  71. 		target => "log_date"
  72. 		add_tag => [ "log_date" ]
  73. 		remove_field => [ "log_time" ]
  74. 	}
  75. 	geoip {
  76. 		source => "device_ip"
  77. 		add_tag => [ "geoip" ]
  78. 		remove_field => [ "client_ip" ]
  79. 	}
  80. }
  81. output {
  82. 	elasticsearch {
  83. 	hosts => ["xxx.xxx.xxx.xxx:9200"]
  84. 	index => "logstash-s3-%{+YYYY-MM-dd}"
  85. 	}
  86. }

【ELK】抓取AWS-ELB日志的logstash配置文件的更多相关文章

  1. 手把手教你用Python抓取AWS的日志(CloudTrail)数据

    数据时代,利用数据做决策是大数据的核心价值. 本文手把手,教你使用python进行AWS的CloudTrail配置,进行日志抓取.进行数据分析,发现数据价值! 如今是云的时代,许多公司都把自己的IT架 ...

  2. [原创]adb使用教程v1.0-----by-----使用logcat快速抓取android崩溃日志

    原文再续,书接上回:<使用logcat快速抓取android崩溃日志>中提到的工具包可以下载拉~ <使用logcat快速抓取android崩溃日志>:http://www.cn ...

  3. [原创]adb使用教程v1.1.0-----by-----使用logcat快速抓取android崩溃日志

    原文再续,书接上回:<使用logcat快速抓取android崩溃日志>中提到的工具包可以下载拉~ <使用logcat快速抓取android崩溃日志>:http://www.cn ...

  4. .NET LINQ分析AWS ELB日志避免996

    前言 小明是个单纯的.NET开发,一天大哥叫住他,安排了一项任务: "小明,分析一下我们超牛逼网站上个月的所有AWS ELB流量日志,这些日志保存在AWS S3上,你分析下,看哪个API的响 ...

  5. [原创]使用logcat快速抓取android崩溃日志

    在android APP测试过程中会发生不少的crash,目前抓取日志的主流方法是通过eclipse或者eclipse的ddms组件进行捕抓,这两种方法有个缺点是启动时非常耗时.本文通过adb程序与b ...

  6. 使用flume抓取tomcat的日志文件下沉到kafka消费

    Tomcat生产日志 Flume抓取日志下沉到kafka中 将写好的web项目打包成war包,eclise直接导出export,IDEA 在artifact中添加新的artifact-achieve项 ...

  7. 抓取Android崩溃日志

    作为一个测试人员,特别是安卓的测试,由于系统版本的不同和手机本身各个品牌的优化和硬件的不同,会出现各种各样的崩溃. 记录崩溃的方式有很多种,比如使用录屏工具或文档进行记录,但是最简洁明了可以直接定位的 ...

  8. Java学习-046-日志抓取合并后排序问题解决方案之 --- log4j 二次定制,实现日志输出添加延时10ms

    自3月25至今,已经好久没有写学习日志了,今天在写日志抓取合并的小方法,发现抓取后的日志并米有依据系统执行的日志顺序排序.日志抓取排列逻辑如下: 通过日志标识,从各个日志文件(例如 use.log,e ...

  9. 制作bat脚本,抓取Android设备logcat

    ::bat制作抓取Android设备的logcat,并保存以时间命名的txt文件至设备目录 1 @ECHO off adb wait-for-device ECHO 正在连接设备 adb logcat ...

随机推荐

  1. Linux下的非阻塞IO(一)

    非阻塞IO是相对于传统的阻塞IO而言的. 我们首先需要搞清楚,什么是阻塞IO.APUE指出,系统调用分为两类,低速系统调用和其他,其中低速系统调用是可能会使进程永远阻塞的一类系统调用.但是与磁盘IO有 ...

  2. 【我们都爱Paul Hegarty】斯坦福IOS8公开课个人笔记30 ScrollView Demo实战

    在上一话中我们创建了一个通过URL读取图片的Demo,这个Demo是不能拖动和缩放的.如今给它添加选项让它能够手动切换URL,并把图片加入到ScrollView中. 向Storyboard中拖入一个s ...

  3. css3中的新特性经典应用

    这篇文章主要分析css3新特性的典型应用,都是干活,没得水分. 1.动画属性:animation. 利用animation可以实现元素的动画效果,他是一个简写属性,用于设置6个动画属性:aminati ...

  4. Html.BeginForm 与Section、Partial View 和 Child Action

    该方法用于构建一个From表单的开始,他的构造方法为: Html.BeginForm("ActionName","ControllerName",FormMet ...

  5. SpringBoot集成actuator模块的基本使用

    © 版权声明:本文为博主原创文章,转载请注明出处 1. 版本 SpringBoot:2.0.0.RELEASE 2. 集成 SpringBoot集成actuator模块非常简单,只需要引入actuat ...

  6. Unity3d 实现鼠标左键点击地形使角色移动到指定地点[脚本]

    Unity3d 实现鼠标左键点击地形使角色移动到指定地点[脚本] 2013-02-19 15:29:33     我来说两句      作者:nnsword 收藏    我要投稿 其中涉及,移动速度, ...

  7. graph小案例

    (小案例,有五个人他们参见相亲节目,这个五个人分别是0,1,2,3,4,号选手,计算出追随者年龄大于被追随者年龄的人数和平均年龄) scala> import org.apache.spark. ...

  8. SpringMvc入门教程

    1.新建demo4  web项目, 导入spring包(使用的是spring4.2) 2.修改WEB-INF下的WEB.XML内容为 <?xml version="1.0" ...

  9. MapReudce源码分析之Mapper

    Mapper是MapReduce编程模型中一个将输入的key/value对映射成一组中间key/value对的组件.Map是将输入记录转换成中间记录的单个任务.被转换的中间记录不需要与输入记录一样的类 ...

  10. UIview层次管理

    将一个UIView显示在最前面只需要调用其父视图的 bringSubviewToFront()方法. 将一个UIView层推送到背后只需要调用其父视图的 sendSubviewToBack()方法.