输入插件是Logstash从特定的数据源读取数据,Logstash可用插件包括,详情可见这里,下面说一些常见的输入插件:
stdin插件:标准的输入插件,能够从命令行中读取事件。
可选配置:
add_field hash(哈希) {}
codec codec “line”
tags array(数组)
type string(字符串)
file插件:Logstash 使用一个名叫 FileWatch 的 Ruby Gem 库来监听文件变化。这个库支持 glob 展开文件路径,而且会记录一个叫 .sincedb 的数据库文件来跟踪被监听的日志文件的当前读取位置。所以,不要担心 logstash 会漏过你的数据。
sincedb 文件中记录了每个被监听的文件的 inode, major number, minor number 和 pos。
示例:
|
1
2
3
4
5
6
7
|
input
file
{
path => [
"/var/log/*.log"
,
"/var/log/message"
]
type
=>
"system"
start_position =>
"beginning"
}
}
|
通常你要导入原有数据进 Elasticsearch 的话,你还需要 filter/date 插件来修改默认的"@timestamp" 字段值。
FileWatch 只支持文件的绝对路径,而且会不自动递归目录。所以有需要的话,请用数组方式都写明具体哪些文件。
LogStash::Inputs::File 只是在进程运行的注册阶段初始化一个 FileWatch 对象。所以它不能支持类似 fluentd 那样的 path => "/path/to/%{+yyyy/MM/dd/hh}.log" 写法。达到相同目的,你只能写成 path => "/path/to/*/*/*/*.log"。
logstash 每隔多久去检查一次被监听的 path 下是否有新文件。默认值是 15 秒。
logstash 每隔多久写一次 sincedb 文件,默认是 15 秒。
logstash 每隔多久检查一次被监听文件状态(是否有更新),默认是 1 秒。
generator:生成数据组件,用来生成测试数据最好用。
![[基础服务-windows] [ELK] ElasticSearch + Kibana + Logstash 以及插件安装和配置](https://ucc.alicdn.com/images/user-upload-01/ae6c47d54cab4ce6ae08d8c185028759.png?x-oss-process=image/resize,h_160,m_lfit)
