Logstash 是 ELK Stack(Elasticsearch、Logstash、Kibana)的核心组件之一,用于数据采集、处理和传输。其功能可类比为「数据管道」,支持多种输入源、过滤器和输出目标,广泛应用于日志分析、监控告警等场景。

🧰 安装与配置

  1. 安装

    • 下载 Logstash 官方安装包
    • 使用 tar -xzf logstash-<版本>.tar.gz 解压并配置环境变量
    • 验证安装:logstash --version

  2. 基础配置

    • 输入:input { stdin { } }input { file { path => "/var/log/*.log" } }
    • 过滤器:filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } }
    • 输出:output { elasticsearch { hosts => ["localhost:9200"] } }
    • 示例配置文件:Logstash 配置模板

📈 使用场景

  • 日志集中化管理:从多台服务器采集日志,统一处理后存储到 Elasticsearch
  • 实时数据处理:通过 grokdate 等插件解析和转换数据格式
  • 流量监控:结合 tcpudp 输入监听网络流量,分析异常行为
  • 数据清洗:去除无效字段、标准化时间戳等

🌐 扩展阅读

logstash_icon
elk_stack_use_case
logstash_config