当前位置：首页 > article >正文

Logstash 使用指南

article 2026/3/2 9:39:48

Logstash 是一个开源的数据收集引擎，能够从多种数据源收集数据，进行转换和过滤，并将数据发送到指定的目的地（如 Elasticsearch、文件、数据库等）。它是 Elastic Stack（ELK Stack）的重要组成部分，通常与 Elasticsearch 和 Kibana 配合使用。

本指南将介绍 Logstash 的基本概念、安装配置、常用插件以及如何编写配置文件。

Logstash 简介

Logstash 是一个数据管道工具，主要用于日志和事件数据的收集、处理和转发。它支持多种数据源和目的地，能够通过插件扩展功能。Logstash 的核心功能包括：

输入（Input）：从各种数据源（如文件、数据库、消息队列等）收集数据。
过滤（Filter）：对数据进行解析、转换和过滤。
输出（Output）：将处理后的数据发送到指定的目的地（如 Elasticsearch、文件、数据库等）。

Logstash 的灵活性和强大的插件生态系统使其成为处理复杂数据流的理想工具。

安装 Logstash

1. 下载 Logstash

Logstash 可以从 Elastic 官方网站下载：

Logstash 下载页面

选择适合你操作系统的版本进行下载。

2. 安装 Logstash

Linux / macOS

# 解压下载的压缩包
tar -xzf logstash-7.10.0.tar.gz# 进入解压后的目录
cd logstash-7.10.0

Windows

解压下载的 ZIP 文件，并进入解压后的目录。

3. 验证安装

运行以下命令验证 Logstash 是否安装成功：

bin/logstash -e 'input { stdin { } } output { stdout {} }'

在终端输入一些文本，Logstash 会将输入的内容输出到终端。如果看到输出，说明 Logstash 安装成功。

Logstash 配置文件结构

Logstash 的配置文件通常包含三个部分：input、filter 和 output。每个部分定义了数据的来源、处理方式和输出目的地。

input {# 输入插件配置
}filter {# 过滤插件配置
}output {# 输出插件配置
}

示例配置文件

input {file {path => "/var/log/nginx/access.log"start_position => "beginning"}
}filter {grok {match => { "message" => "%{COMBINEDAPACHELOG}" }}date {match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]}
}output {elasticsearch {hosts => ["localhost:9200"]index => "nginx-access-logs-%{+YYYY.MM.dd}"}stdout { codec => rubydebug }
}

常用输入插件

1. `file` 插件

从文件中读取数据，常用于日志文件的收集。

input {file {path => "/var/log/nginx/access.log"start_position => "beginning"sincedb_path => "/dev/null"  # 禁用 sincedb，每次从头读取}
}

2. `beats` 插件

接收来自 Filebeat 的数据。

input {beats {port => 5044}
}

3. `stdin` 插件

从标准输入读取数据，常用于测试。

input {stdin {}
}

常用过滤插件

1. `grok` 插件

用于解析非结构化日志数据并将其转换为结构化数据。

filter {grok {match => { "message" => "%{COMBINEDAPACHELOG}" }}
}

2. `date` 插件

解析日期字段并将其设置为事件的时间戳。

filter {date {match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]}
}

3. `mutate` 插件

用于修改字段，例如重命名、删除、替换等。

filter {mutate {rename => { "old_field" => "new_field" }remove_field => [ "unwanted_field" ]}
}

常用输出插件

1. `elasticsearch` 插件

将数据发送到 Elasticsearch。

output {elasticsearch {hosts => ["localhost:9200"]index => "my-logs-%{+YYYY.MM.dd}"}
}

2. `stdout` 插件

将数据输出到标准输出，常用于调试。

output {stdout { codec => rubydebug }
}

3. `file` 插件

将数据写入文件。

output {file {path => "/path/to/output.log"}
}

Logstash 运行与调试

1. 运行 Logstash

使用以下命令运行 Logstash，并指定配置文件：

bin/logstash -f /path/to/your-config.conf

2. 调试 Logstash

日志文件：Logstash 的日志文件通常位于 logs/ 目录下，查看日志可以帮助排查问题。
调试模式：可以通过增加 --debug 参数来启用调试模式，输出更详细的日志信息。

bin/logstash -f /path/to/your-config.conf --debug

常见问题与解决方案

1. Logstash 启动失败

问题：Logstash 启动时提示端口被占用。
解决方案：检查是否有其他进程占用了 Logstash 的端口（如 5044），并终止该进程。

2. Grok 解析失败

问题：Grok 插件无法正确解析日志。
解决方案：使用 Grok Debugger 调试 Grok 表达式，确保表达式与日志格式匹配。

3. 数据未发送到 Elasticsearch

问题：Logstash 运行正常，但数据未出现在 Elasticsearch 中。
解决方案：检查 Elasticsearch 是否正常运行，并确保 Logstash 配置中的 Elasticsearch 主机和端口正确。

总结

Logstash 是一个功能强大的数据收集和处理工具，能够帮助你将各种来源的数据进行集中管理和分析。通过合理配置输入、过滤和输出插件，你可以轻松构建复杂的数据处理管道。希望本指南能帮助你快速上手 Logstash，并在实际项目中发挥其强大的功能。

如果你有更多问题，可以参考 Logstash 官方文档或社区资源。

目录