Articles of logstash

我想把它安装在一个非常小的服务器上，我想看看它是否能够运行它有一些尊严。 那么，有没有人有任何内存和CPU消耗统计运行logstash？ 我明白这取决于使用情况，但对使用情况的参考也可能有帮助。

使用这个：http://zeromq.org/distro:debian得到zeromq在Ubuntu中使用它与logstash。 希望在Solaris中实现相同的function。 阅读zeromq支持Solaris，但只提供了一个tarball。 如何在Solaris中使用Zeromq进行apt-get。

每次logstash-forwarder有新的日志发送时，都会收到此错误消息。 最终连接被取得，logstash-forwarder输出确认事件已经被处理，但是我希望有办法解决这个错误。 这是一个正在发生的事情的例子： 2015/01/25 18:51:46.116770 Read error looking for ack: EOF 2015/01/25 18:51:46.116831 Loading client ssl certificate: /opt/certs/logstash-forwarder.crt and /opt/certs/logstash-forwarder.key 2015/01/25 18:51:46.276102 Setting trusted CA from file: /opt/certs/logstash-forwarder.crt 2015/01/25 18:51:46.276453 Connecting to <IP>:4545 (<IP>) 2015/01/25 18:51:46.687068 Connected to <IP> 2015/01/25 18:51:46.736755 Read error looking for ack: EOF 2015/01/25 18:51:46.736857 Loading client ssl certificate: /opt/certs/logstash-forwarder.crt and […]

我已经在我的无头服务器上安装了logstash，但是我用sudo service logstash start遇到了一些问题。 这是我从/var/log/logstash/logstash.log得到的输出，但在这里我看不到任何明显的东西。 与新贵的脚本（/etc/init/logstash.conf）＃logstash – 代理实例＃ description "logstash agent" start on virtual-filesystems stop on runlevel [06] # Respawn it if the process exits respawn # We're setting high here, we'll re-limit below. limit nofile 65550 65550 setuid logstash setgid logstash # You need to chdir somewhere writable because logstash needs to unpack a […]

有谁知道是否可以在LogStash / ELK堆栈中收集ESX性能统计信息？ 查看是否可以收集用于ELK堆栈的ESXTOP数据。

在使用文件input，logstash-forwarder成功设置ELK并从几台服务器看到Kibanastream中的日志之后，我试图build立一个TCPinput： tcp { codec => "json" host => "localhost" port => 9250 tags => ["sensu"] } 发件人是敏感的，而且消息确实是JSON – 用tcpdump命令检查了这个。 Logstash日志表示连接被接受： {:timestamp=>"2015-06-15T14:03:39.832000+1000", :message=>"Accepted connection", :client=>"127.0.0.1:38065", :server=>"localhost:9250", :level=>:debug, :file=>"logstash/inputs/tcp.rb", :line=>"146", :method=>"client_thread"} {:timestamp=>"2015-06-15T14:03:39.962000+1000", :message=>"config LogStash::Codecs::JSONLines/@charset = \"UTF-8\"", :level=>:debug, :file=>"logstash/config/mixin.rb", :line=>"112", :method=>"config_init"} {:timestamp=>"2015-06-15T14:03:39.963000+1000", :message=>"config LogStash::Codecs::Line/@charset = \"UTF-8\"", :level=>:debug, :file=>"logstash/config/mixin.rb", :line=>"112", :method=>"config_init"} 然而，数据似乎没有进一步的，在基巴纳找不到。 我去了其他的input，然后观察弹性search（curl'localhost：9200 / _cat / shards'）中的碎片，它的大小没有增加。 根据这个环节，我走在正确的道路上，但可能只是做一些愚蠢的地方…在此先感谢。 logstash.conf： […]

我正在设置一个通用的Elasticsearch-Logstash-Kibana堆栈来部署到我的一些客户端。 我正在尝试对一些pipe道进行模板化，这样我们只需要根据需要为每个客户端部署config / pipelines。 Logstash将input{…} ， filter{…}和output{…}作为部分及其内容作为插件 ，将它们作为处理pipe道进行聚合，并将每个pipe道包含在文件中作为configuration文件 。 考虑到这一点，是否有部分和pipe道的范围？ 也就是说，在一个特定的configuration文件中定义的部分是否只用于该configuration文件中的pipe道？ 如果我有2个configuration文件和2个pipe道： # my_apache_pipeline.config input { tcp { port 5000 } } filter { if [application == "httpd"] { … } } output { elasticsearch { … } } 和 #my_nginx_pipeline.config input { tcp { codec => "json" port => 6000 } } filter { […]

这个信息是什么，我该如何摆脱它？ 我在Windows 8上使用ELK堆栈。每个东西都能正常工作，但是每当我运行logstash ，都会得到这个消息，让我logstash 。 这是通过在控制台上运行logstash得到的完整输出： C:\Users\masoud\logstash-2.1.1\bin>logstash agent -f logstash.conf io/console not supported; tty will not be manipulated Settings: Default filter workers: 2 Logstash startup completed 在此消息之后，它开始显示所需的输出数据。 我寻找答案，但唯一能find的是这是一个警告信息（没有什么可担心的）。 也许它与在Windows操作系统下运行有关，但我真的好奇它到底是什么，为什么发生，我该如何解决？

我通过https://www.elastic.co/downloads/logstash下载它。 并在CentOS 7.0中进行testing。 JRE的版本是1.8.0_101 。 当我运行./bin/logstash agent -f config/log4j_to_es.conf它打印： Unable to find JRuby. If you are a user, this is a bug. If you are a developer, please run 'rake bootstrap'. Running 'rake' requires the 'ruby' program be available. 我下载了TAR.GZ包。 我不知道如何解决这个问题。

我需要匹配这个条目 2015/10/30 23:58:21 pid 22223 [email protected] 192.168.0.1 [p4/2012.2/LINUX26X86_64/536738] 'test-monitor show' 为了匹配这个，我写了这个正则expression式 P4_DATE (?>\d\d){1,2}\/(?:0[1-9]|1[0-2])\/(?:(?:0[1-9])|(?:[12][0-9])|(?:3[01])|[1-9]) P4_TIME (?:2[0123]|[01]?[0-9])\:(?:[0-5][0-9])\:(?:(?:[0-5]?[0-9]|60)(?:[:.,][0-9]+)?) P4_PID \b(?:[1-9][0-9]*)\b P4_USER \b\w+\b P4_HOSTNAME \b(?:[0-9A-Za-z][0-9A-Za-z-]{0,62})(?:\.(?:[0-9A-Za-z][0-9A-Za-z-]{0,62}))*(\.?|\b) P4_IP (?<![0-9])(?:(?:[0-1]?[0-9]{1,2}|2[0-4][0-9]|25[0-5])[.](?:[0-1]?[0-9]{1,2}|2[0-4][0-9]|25[0-5])[.](?:[0-1]?[0-9]{1,2}|2[0-4][0-9]|25[0-5])[.](?:[0-1]?[0-9]{1,2}|2[0-4][0-9]|25[0-5]))(?![0-9]) 然后整体 P4_MATCH %(P4_DATE:p4date} %{P4_TIME:p4time} pid %{P4_PID:p4pid} %{P4_USER:p4user}\@%{P4_HOSTNAME:p4client} %{P4_IP:p4remoteclient} [%{DATA:p4version}] \'%{DATA:p4action}\'" } 然后通过匹配 match => [ "message", "%{P4_MATCH}" ] 但仍然会出现“_beats_input_codec_plain_applied，_grokparsefailure” 我不是一个正规expression专家，但任何帮助真的很感激。