# Your app's log4j.properties (log4j 1.2 only)
log4j.rootLogger=daily
log4j.appender.daily=org.apache.log4j.rolling.RollingFileAppender
log4j.appender.daily.RollingPolicy=org.apache.log4j.rolling.TimeBasedRollingPolicy
log4j.appender.daily.RollingPolicy.FileNamePattern=/var/log/your-app/app.%d.log
log4j.appender.daily.layout = org.apache.log4j.PatternLayout
log4j.appender.daily.layout.ConversionPattern=%d{YYYY-MM-dd HH:mm:ss,SSSZ} %p %c{1}:%L - %m%n

更详细地配置 log4j.properties 不在本迁移指南的范围内。

配置 Filebeat

编辑

接下来，安装 Filebeat。根据上面的 log4j.properties，我们可以使用此 Filebeat 配置

# filebeat.yml
filebeat:
  prospectors:
    -
      paths:
        - /var/log/your-app/app.*.log
      input_type: log
output:
  logstash:
    hosts: ["your-logstash-host:5000"]

有关配置 Filebeat 的更多详细信息，请参阅配置 Filebeat。

配置 Logstash 以接收来自 Filebeat 的数据

编辑

最后，使用 Beats 输入配置 Logstash

# logstash configuration
input {
  beats {
    port => 5000
  }
}

强烈建议您还在 Filebeat 和 Logstash Beats 输入中启用 TLS，以保护和保障日志数据的安全。

有关配置 Beats 输入的更多详细信息，请参阅 Logstash Beats 输入文档。

描述

编辑

通过 TCP 套接字从 Log4j SocketAppender 读取事件。此插件仅适用于 Log4j 版本 1.x。

可以接受来自客户端的连接或连接到服务器，具体取决于 mode。根据配置的 mode，您需要在远程端使用匹配的 SocketAppender 或 SocketHubAppender。

每个接收到的 Log4j LoggingEvent 都创建一个事件，其架构如下

timestamp ⇒ 从 1970 年 1 月 1 日开始到创建日志事件为止经过的毫秒数。
path ⇒ 记录器的名称
priority ⇒ 此事件的级别
logger_name ⇒ 记录器的名称
thread ⇒ 发出日志请求的线程名称
class ⇒ 发出日志请求的调用者的完全限定类名。
file ⇒ 发出日志请求的调用者的源文件名和行号，以冒号分隔的格式“fileName:lineNumber”。
method ⇒ 发出日志请求的调用者的方法名称。
NDC ⇒ NDC 字符串
stack_trace ⇒ 多行堆栈跟踪

此外，如果原始 Log4j LoggingEvent 包含 MDC 哈希条目，则它们将作为字段合并到事件中。

Log4j 输入配置选项

编辑

此插件支持以下配置选项以及稍后描述的通用选项。

设置	输入类型	必需
`host`	字符串	否
`mode`	字符串，其中之一为 `["server", "client"]`	否
`port`	数字	否
`proxy_protocol`	布尔值	否

另请参阅通用选项，以获取所有输入插件支持的选项列表。

`host`

编辑

值类型为字符串
默认值为 "0.0.0.0"

当 mode 为 server 时，要监听的地址。当 mode 为 client 时，要连接到的地址。

`mode`

编辑

值可以是以下任何一个：server、client
默认值为 "server"

要操作的模式。server 侦听客户端连接，client 连接到服务器。

`port`

编辑

值类型为数字
默认值为 4560

当 mode 为 server 时，要监听的端口。当 mode 为 client 时，要连接到的端口。

`proxy_protocol`

编辑

值类型为布尔值
默认值为 false

代理协议支持，目前仅支持 v1 http://www.haproxy.org/download/1.5/doc/proxy-protocol.txt

通用选项

编辑

所有输入插件都支持这些配置选项

设置	输入类型	必需
`add_field`	哈希	否
`codec`	codec	否
`enable_metric`	布尔值	否
`id`	字符串	否
`tags`	数组	否
`type`	字符串	否

`add_field`

编辑

值类型为哈希
默认值为 {}

向事件添加字段

`codec`

编辑

值类型为 codec
默认值为 "plain"

用于输入数据的编解码器。输入编解码器是在输入数据进入输入之前对其进行解码的便捷方法，无需在 Logstash 管道中使用单独的过滤器。

`enable_metric`

编辑

值类型为布尔值
默认值为 true

禁用或启用此特定插件实例的指标日志记录，默认情况下我们记录所有可以记录的指标，但您可以禁用特定插件的指标收集。

`id`

编辑

值类型为字符串
此设置没有默认值。

向插件配置添加唯一的 ID。如果未指定 ID，Logstash 将生成一个。强烈建议您在配置中设置此 ID。当您具有两种或更多相同类型的插件时，这尤其有用，例如，如果您有两个 log4j 输入。在这种情况下，添加命名 ID 将有助于在使用监控 API 时监控 Logstash。

input {
  log4j {
    id => "my_plugin_id"
  }
}

id 字段中的变量替换仅支持环境变量，不支持使用密钥存储中的值。

`tags`

编辑

值类型为数组
此设置没有默认值。

向您的事件添加任意数量的标签。

这可以帮助以后进行处理。

`type`

编辑

值类型为字符串
此设置没有默认值。

向此输入处理的所有事件添加 type 字段。

类型主要用于过滤器激活。

类型存储在事件本身中，因此您也可以使用类型在 Kibana 中搜索它。

如果您尝试在已经具有类型的事件上设置类型（例如，当您从发货器发送事件到索引器时），则新的输入不会覆盖现有的类型。在发货器中设置的类型会与该事件保持一致，即使发送到其他 Logstash 服务器也是如此。

« Logstash 输入插件 Lumberjack 输入插件 »