- Logstash 参考文档其他版本
- Logstash 简介
- Logstash 入门
- Logstash 的工作原理
- 设置和运行 Logstash
- 升级 Logstash
- 创建 Logstash 管道
- 保护您的连接
- 高级 Logstash 配置
- Logstash 到 Logstash 通信
- 管理 Logstash
- 将 Logstash 与 Elastic Integrations 一起使用
- 使用 Logstash 模块
- 使用 Filebeat 模块
- 使用 Winlogbeat 模块
- 队列和数据弹性
- 转换数据
- 部署和扩展 Logstash
- 管理 GeoIP 数据库
- 性能调优
- 使用 Elastic Agent 监控 Logstash
- 监控 Logstash(旧版)
- 使用 API 监控 Logstash
- 使用插件
- 集成插件
- 输入插件
- azure_event_hubs
- beats
- cloudwatch
- couchdb_changes
- dead_letter_queue
- elastic_agent
- elastic_serverless_forwarder
- elasticsearch
- exec
- file
- ganglia
- gelf
- generator
- github
- google_cloud_storage
- google_pubsub
- graphite
- heartbeat
- http
- http_poller
- imap
- irc
- java_generator
- java_stdin
- jdbc
- jms
- jmx
- kafka
- kinesis
- logstash
- log4j
- lumberjack
- meetup
- pipe
- puppet_facter
- rabbitmq
- redis
- relp
- rss
- s3
- s3-sns-sqs
- salesforce
- snmp
- snmptrap
- sqlite
- sqs
- stdin
- stomp
- syslog
- tcp
- udp
- unix
- varnishlog
- websocket
- wmi
- xmpp
- 输出插件
- boundary
- circonus
- cloudwatch
- csv
- datadog
- datadog_metrics
- dynatrace
- elastic_app_search
- elastic_workplace_search
- elasticsearch
- exec
- file
- ganglia
- gelf
- google_bigquery
- google_cloud_storage
- google_pubsub
- graphite
- graphtastic
- http
- influxdb
- irc
- java_stdout
- juggernaut
- kafka
- librato
- logstash
- loggly
- lumberjack
- metriccatcher
- mongodb
- nagios
- nagios_nsca
- opentsdb
- pagerduty
- pipe
- rabbitmq
- redis
- redmine
- riak
- riemann
- s3
- sink
- sns
- solr_http
- sqs
- statsd
- stdout
- stomp
- syslog
- tcp
- timber
- udp
- webhdfs
- websocket
- xmpp
- zabbix
- 过滤器插件
- age
- aggregate
- alter
- bytes
- cidr
- cipher
- clone
- csv
- date
- de_dot
- dissect
- dns
- drop
- elapsed
- elastic_integration
- elasticsearch
- environment
- extractnumbers
- fingerprint
- geoip
- grok
- http
- i18n
- java_uuid
- jdbc_static
- jdbc_streaming
- json
- json_encode
- kv
- memcached
- metricize
- metrics
- mutate
- prune
- range
- ruby
- sleep
- split
- syslog_pri
- threats_classifier
- throttle
- tld
- translate
- truncate
- urldecode
- useragent
- uuid
- wurfl_device_detection
- xml
- 编解码器插件
- 技巧和最佳实践
- 故障排除
- 为 Logstash 做贡献
- 贡献 Java 插件
- 重大变更
- 发行说明
- Logstash 8.17.0 发行说明
- Logstash 8.16.1 发行说明
- Logstash 8.16.0 发行说明
- Logstash 8.15.4 发行说明
- Logstash 8.15.3 发行说明
- Logstash 8.15.2 发行说明
- Logstash 8.15.1 发行说明
- Logstash 8.15.0 发行说明
- Logstash 8.14.3 发行说明
- Logstash 8.14.2 发行说明
- Logstash 8.14.1 发行说明
- Logstash 8.14.0 发行说明
- Logstash 8.13.4 发行说明
- Logstash 8.13.3 发行说明
- Logstash 8.13.2 发行说明
- Logstash 8.13.1 发行说明
- Logstash 8.13.0 发行说明
- Logstash 8.12.2 发行说明
- Logstash 8.12.1 发行说明
- Logstash 8.12.0 发行说明
- Logstash 8.11.4 发行说明
- Logstash 8.11.3 发行说明
- Logstash 8.11.2 发行说明
- Logstash 8.11.1 发行说明
- Logstash 8.11.0 发行说明
- Logstash 8.10.4 发行说明
- Logstash 8.10.3 发行说明
- Logstash 8.10.2 发行说明
- Logstash 8.10.1 发行说明
- Logstash 8.10.0 发行说明
- Logstash 8.9.2 发行说明
- Logstash 8.9.1 发行说明
- Logstash 8.9.0 发行说明
- Logstash 8.8.2 发行说明
- Logstash 8.8.1 发行说明
- Logstash 8.8.0 发行说明
- Logstash 8.7.1 发行说明
- Logstash 8.7.0 发行说明
- Logstash 8.6.2 发行说明
- Logstash 8.6.1 发行说明
- Logstash 8.6.0 发行说明
- Logstash 8.5.3 发行说明
- Logstash 8.5.2 发行说明
- Logstash 8.5.1 发行说明
- Logstash 8.5.0 发行说明
- Logstash 8.4.2 发行说明
- Logstash 8.4.1 发行说明
- Logstash 8.4.0 发行说明
- Logstash 8.3.3 发行说明
- Logstash 8.3.2 发行说明
- Logstash 8.3.1 发行说明
- Logstash 8.3.0 发行说明
- Logstash 8.2.3 发行说明
- Logstash 8.2.2 发行说明
- Logstash 8.2.1 发行说明
- Logstash 8.2.0 发行说明
- Logstash 8.1.3 发行说明
- Logstash 8.1.2 发行说明
- Logstash 8.1.1 发行说明
- Logstash 8.1.0 发行说明
- Logstash 8.0.1 发行说明
- Logstash 8.0.0 发行说明
- Logstash 8.0.0-rc2 发行说明
- Logstash 8.0.0-rc1 发行说明
- Logstash 8.0.0-beta1 发行说明
- Logstash 8.0.0-alpha2 发行说明
- Logstash 8.0.0-alpha1 发行说明
节点统计 API
编辑节点统计 API
编辑节点统计 API 检索关于 Logstash 的运行时统计信息。
curl -XGET 'localhost:9600/_node/stats/<types>'
其中 <types> 是可选的,用于指定要返回的统计信息类型。
默认情况下,将返回所有统计信息。您可以通过在逗号分隔的列表中组合以下任何类型来限制返回的信息
|
获取 JVM 统计信息,包括关于线程、内存使用情况、垃圾收集器和正常运行时间的统计信息。 |
|
|
获取进程统计信息,包括关于文件描述符、内存消耗和 CPU 使用率的统计信息。 |
|
|
获取 Logstash 实例的事件相关统计信息(无论创建和销毁了多少管道)。 |
|
|
获取 Logstash 实例的流相关统计信息(无论创建和销毁了多少管道)。 |
|
|
获取关于每个 Logstash 管道的运行时统计信息。 |
|
|
获取关于配置重新加载成功和失败的运行时统计信息。 |
|
|
当 Logstash 在容器中运行时,获取关于 cgroup 的运行时统计信息。 |
|
|
获取与 Geoip 过滤器插件一起使用的数据库的统计信息。 |
有关可应用于所有 Logstash 监控 API 的选项列表,请参阅 常用选项。
JVM 统计信息
编辑以下请求返回包含 JVM 统计信息的 JSON 文档
curl -XGET 'localhost:9600/_node/stats/jvm?pretty'
示例响应
{ "jvm" : { "threads" : { "count" : 49, "peak_count" : 50 }, "mem" : { "heap_used_percent" : 14, "heap_committed_in_bytes" : 309866496, "heap_max_in_bytes" : 1037959168, "heap_used_in_bytes" : 151686096, "non_heap_used_in_bytes" : 122486176, "non_heap_committed_in_bytes" : 133222400, "pools" : { "survivor" : { "peak_used_in_bytes" : 8912896, "used_in_bytes" : 288776, "peak_max_in_bytes" : 35782656, "max_in_bytes" : 35782656, "committed_in_bytes" : 8912896 }, "old" : { "peak_used_in_bytes" : 148656848, "used_in_bytes" : 148656848, "peak_max_in_bytes" : 715849728, "max_in_bytes" : 715849728, "committed_in_bytes" : 229322752 }, "young" : { "peak_used_in_bytes" : 71630848, "used_in_bytes" : 2740472, "peak_max_in_bytes" : 286326784, "max_in_bytes" : 286326784, "committed_in_bytes" : 71630848 } } }, "gc" : { "collectors" : { "old" : { "collection_time_in_millis" : 607, "collection_count" : 12 }, "young" : { "collection_time_in_millis" : 4904, "collection_count" : 1033 } } }, "uptime_in_millis" : 1809643 } }
进程统计信息
编辑以下请求返回包含进程统计信息的 JSON 文档
curl -XGET 'localhost:9600/_node/stats/process?pretty'
示例响应
{ "process" : { "open_file_descriptors" : 184, "peak_open_file_descriptors" : 185, "max_file_descriptors" : 10240, "mem" : { "total_virtual_in_bytes" : 5486125056 }, "cpu" : { "total_in_millis" : 657136, "percent" : 2, "load_average" : { "1m" : 2.38134765625 } } } }
事件统计信息
编辑以下请求返回包含 Logstash 实例的事件相关统计信息的 JSON 文档
curl -XGET 'localhost:9600/_node/stats/events?pretty'
示例响应
{ "events" : { "in" : 293658, "filtered" : 293658, "out" : 293658, "duration_in_millis" : 2324391, "queue_push_duration_in_millis" : 343816 }
流统计信息
编辑以下请求返回包含 Logstash 实例的流速的 JSON 文档
curl -XGET 'localhost:9600/_node/stats/flow?pretty'
示例响应
{ "flow" : { "input_throughput" : { "current": 189.720, "lifetime": 201.841 }, "filter_throughput" : { "current": 187.810, "lifetime": 201.799 }, "output_throughput" : { "current": 191.087, "lifetime": 201.761 }, "queue_backpressure" : { "current": 0.277, "lifetime": 0.031 }, "worker_concurrency" : { "current": 1.973, "lifetime": 1.721 } } }
当给定流指标窗口的速率为无限时,它将表示为字符串("Infinity" 或 "-Infinity")。当分子指标在窗口期间发生更改,而速率的分母指标没有更改时,会发生这种情况。
流速提供了关于 Logstash 实例或单个管道当前相对于自身随时间推移的性能的可见性。这使我们可以将含义附加到此 API 也提供的累积值指标,并确定实例或管道的行为是否比过去更好或更差。
以下流速可用于整个 Logstash 进程以及它的每个管道。此外,管道可能具有 其他流速,具体取决于其配置。
| 流速 | 定义 |
|---|---|
|
此指标以每秒事件数表示,是指相对于实际时间推送到管道队列的事件速率 ( |
|
此指标以每秒事件数表示,是指相对于实际时间流经管道过滤器阶段的事件速率 ( |
|
此指标以每秒事件数表示,是指相对于实际时间流经管道输出阶段的事件速率 ( |
|
这是一个无单位指标,表示所有工作线程相对于实际时间所花费的累积时间 ( 当管道的 当其顶级 |
|
这是一个无单位指标,表示所有输入相对于实际时间在将事件推送到其管道队列时所花费的累积时间 ( 虽然 “零” 值表示队列没有背压,但此指标的大小高度依赖于管道的形状及其输入。如果管道的数量或形状发生变化,则不能使用它来比较一个管道与另一个管道,甚至比较一个进程与自身。只有一个单线程输入的管道可能会贡献高达 1.00 的值,而其输入有数百个入站连接的管道可能会对此组合值贡献更高的数字。 此外,对于拉取数据的管道,一定量的背压既是正常的,也是预期的,因为这种背压允许它们减慢速度并以其下游管道可以容忍的速率拉取数据。 |
每个流统计信息都包括一个或多个最近时间窗口的速率
| 流窗口 | 可用性 | 定义 |
|---|---|---|
|
稳定 |
最近约 10 秒 |
|
稳定 |
相关管道或进程的生命周期 |
|
技术预览 |
最近约 1 分钟 |
|
技术预览 |
最近约 5 分钟 |
|
技术预览 |
最近约 15 分钟 |
|
技术预览 |
最近约 1 小时 |
|
技术预览 |
最近约 24 小时 |
标记为 “技术预览” 的流速窗口可能会在不另行通知的情况下更改。响应社区反馈,Logstash 的未来版本可能会为每个速率包含更多、更少或不同的窗口。
管道统计信息
编辑以下请求返回包含管道统计信息的 JSON 文档,包括
curl -XGET 'localhost:9600/_node/stats/pipelines?pretty'
示例响应
{ "pipelines" : { "test" : { "events" : { "duration_in_millis" : 365495, "in" : 216610, "filtered" : 216485, "out" : 216485, "queue_push_duration_in_millis" : 342466 }, "flow" : { "input_throughput" : { "current" : 603.1, "lifetime" : 575.4 }, "filter_throughput" : { "current" : 604.2, "lifetime" : 575.1 }, "output_throughput" : { "current" : 604.8, "lifetime" : 575.1 }, "queue_backpressure" : { "current" : 0.214, "lifetime" : 0.937 }, "worker_concurrency" : { "current" : 0.941, "lifetime" : 0.9709 }, "worker_utilization" : { "current" : 93.092, "lifetime" : 92.187 } }, "plugins" : { "inputs" : [ { "id" : "35131f351e2dc5ed13ee04265a8a5a1f95292165-1", "events" : { "out" : 216485, "queue_push_duration_in_millis" : 342466 }, "flow" : { "throughput" : { "current" : 603.1, "lifetime" : 590.7 } }, "name" : "beats" } ], "filters" : [ { "id" : "35131f351e2dc5ed13ee04265a8a5a1f95292165-2", "events" : { "duration_in_millis" : 55969, "in" : 216485, "out" : 216485 }, "failures" : 216485, "patterns_per_field" : { "message" : 1 }, "flow" : { "worker_utilization" : { "current" : 16.71, "lifetime" : 15.27 }, "worker_millis_per_event" : { "current" : 2829, "lifetime" : 0.2585 } }, "name" : "grok" }, { "id" : "35131f351e2dc5ed13ee04265a8a5a1f95292165-3", "events" : { "duration_in_millis" : 3326, "in" : 216485, "out" : 216485 }, "flow" : { "worker_utilization" : { "current" : 1.042, "lifetime" : 0.9076 }, "worker_millis_per_event" : { "current" : 0.01763, "lifetime" : 0.01536 } }, "name" : "geoip" } ], "outputs" : [ { "id" : "35131f351e2dc5ed13ee04265a8a5a1f95292165-4", "events" : { "duration_in_millis" : 278557, "in" : 216485, "out" : 216485 }, "flow" : { "worker_utilization" : { "current" : 75.34, "lifetime" : 76.01 }, "worker_millis_per_event" : { "current" : 1.276, "lifetime" : 1.287 } }, "name" : "elasticsearch" } ] }, "reloads" : { "last_error" : null, "successes" : 0, "last_success_timestamp" : null, "last_failure_timestamp" : null, "failures" : 0 }, "queue" : { "type" : "memory" } }, "test2" : { "events" : { "duration_in_millis" : 2222229, "in" : 87247, "filtered" : 87247, "out" : 87247, "queue_push_duration_in_millis" : 1532 }, "flow" : { "input_throughput" : { "current" : 301.7, "lifetime" : 231.8 }, "filter_throughput" : { "current" : 207.2, "lifetime" : 231.8 }, "output_throughput" : { "current" : 207.2, "lifetime" : 231.8 }, "queue_backpressure" : { "current" : 0.735, "lifetime" : 0.0006894 }, "worker_concurrency" : { "current" : 8.0, "lifetime" : 5.903 }, "worker_utilization" : { "current" : 100, "lifetime" : 75.8 } }, "plugins" : { "inputs" : [ { "id" : "d7ea8941c0fc48ac58f89c84a9da482107472b82-1", "events" : { "out" : 87247, "queue_push_duration_in_millis" : 1532 }, "flow" : { "throughput" : { "current" : 301.7, "lifetime" : 238.1 } }, "name" : "twitter" } ], "filters" : [ ], "outputs" : [ { "id" : "d7ea8941c0fc48ac58f89c84a9da482107472b82-2", "events" : { "duration_in_millis" : 2222229, "in" : 87247, "out" : 87247 }, "flow" : { "worker_utilization" : { "current" : 100, "lifetime" : 75.8 }, "worker_millis_per_event" : { "current" : 33.6, "lifetime" : 25.47 } }, "name" : "elasticsearch" } ] }, "reloads" : { "last_error" : null, "successes" : 0, "last_success_timestamp" : null, "last_failure_timestamp" : null, "failures" : 0 }, "queue" : { "type" : "memory" } } } }
您可以通过包含管道 ID 来查看特定管道的统计信息。在以下示例中,管道的 ID 为 test
curl -XGET 'localhost:9600/_node/stats/pipelines/test?pretty'
示例响应
{ "pipelines" : { "test" : { "events" : { "duration_in_millis" : 365495, "in" : 216485, "filtered" : 216485, "out" : 216485, "queue_push_duration_in_millis" : 2283 }, "flow" : { "input_throughput" : { "current" : 871.3, "lifetime" : 575.1 }, "filter_throughput" : { "current" : 874.8, "lifetime" : 575.1 }, "output_throughput" : { "current" : 874.8, "lifetime" : 575.1 }, "queue_backpressure" : { "current" : 0, "lifetime" : 0.006246 }, "worker_concurrency" : { "current" : 1.471, "lifetime" : 0.9709 }, "worker_utilization" : { "current" : 74.54, "lifetime" : 46.10 }, "queue_persisted_growth_bytes" : { "current" : 8731, "lifetime" : 0.0106 }, "queue_persisted_growth_events" : { "current" : 0.0, "lifetime" : 0.0 } }, "plugins" : { "inputs" : [ { "id" : "35131f351e2dc5ed13ee04265a8a5a1f95292165-1", "events" : { "out" : 216485, "queue_push_duration_in_millis" : 2283 }, "flow" : { "throughput" : { "current" : 871.3, "lifetime" : 590.7 } }, "name" : "beats" } ], "filters" : [ { "id" : "35131f351e2dc5ed13ee04265a8a5a1f95292165-2", "events" : { "duration_in_millis" : 55969, "in" : 216485, "out" : 216485 }, "failures" : 216485, "patterns_per_field" : { "message" : 1 }, "flow" : { "worker_utilization" : { "current" : 10.53, "lifetime" : 7.636 }, "worker_millis_per_event" : { "current" : 0.3565, "lifetime" : 0.2585 } }, "name" : "grok" }, { "id" : "35131f351e2dc5ed13ee04265a8a5a1f95292165-3", "events" : { "duration_in_millis" : 3326, "in" : 216485, "out" : 216485 }, "name" : "geoip", "flow" : { "worker_utilization" : { "current" : 1.743, "lifetime" : 0.4538 }, "worker_millis_per_event" : { "current" : 0.0590, "lifetime" : 0.01536 } } } ], "outputs" : [ { "id" : "35131f351e2dc5ed13ee04265a8a5a1f95292165-4", "events" : { "duration_in_millis" : 278557, "in" : 216485, "out" : 216485 }, "flow" : { "worker_utilization" : { "current" : 62.27, "lifetime" : 38.01 }, "worker_millis_per_event" : { "current" : 2.109, "lifetime" : 1.287 } }, "name" : "elasticsearch" } ] }, "reloads" : { "last_error" : null, "successes" : 0, "last_success_timestamp" : null, "last_failure_timestamp" : null, "failures" : 0 }, "queue": { "type" : "persisted", "capacity": { "max_unread_events": 0, "page_capacity_in_bytes": 67108864, "max_queue_size_in_bytes": 1073741824, "queue_size_in_bytes": 3885 }, "data": { "path": "/pipeline/queue/path", "free_space_in_bytes": 936886480896, "storage_type": "apfs" }, "events": 0, "events_count": 0, "queue_size_in_bytes": 3885, "max_queue_size_in_bytes": 1073741824 } } } }
管道流速
编辑API 响应中每个管道的条目都包含许多管道范围内的 流速率,例如 input_throughput、worker_concurrency 和 queue_backpressure,以提供有关事件流经管道的可见性。
当使用 持久队列配置时,管道的 flow 将包括其他速率,以提供有关管道持久队列运行状况的可见性
| 流速 | 定义 |
|---|---|
|
此指标以每秒事件数表示,是指相对于实际时间,队列中未确认事件数的变化率 ( |
|
此指标以每秒字节数表示,是指相对于实际时间,磁盘上持久队列大小的变化率 ( 注意:磁盘上 PQ 的大小包括来自包含一个或多个未处理事件的页面的未确认事件和先前已确认的事件。这意味着它会在添加各个事件时逐渐增长,但每次回收一整页已处理的事件时会大幅缩小(阅读更多内容:PQ 磁盘垃圾回收)。 |
|
这是一个无单位指标,指示此单个插件使用的可用工作时间百分比 ( 当 当 |
插件流速
编辑有几个额外的插件级别流速可用,可以帮助识别单个插件的问题
| 流速 | 插件类型 | 定义 |
|---|---|---|
|
输入 |
此指标以每秒事件数表示,是指此输入插件相对于实际时间推送到管道队列的事件速率 ( |
|
过滤器,输出 |
这是一个无单位指标,指示此单个插件使用的可用工作时间百分比 ( |
|
过滤器,输出 |
此指标以每个事件花费的工作线程毫秒数 ( |
重新加载统计信息
编辑以下请求返回一个 JSON 文档,其中显示了关于配置重新加载成功和失败的信息。
curl -XGET 'localhost:9600/_node/stats/reloads?pretty'
示例响应
{ "reloads": { "successes": 0, "failures": 0 } }
操作系统统计信息
编辑当 Logstash 在容器中运行时,以下请求返回一个 JSON 文档,其中包含 cgroup 信息,以便更准确地了解 CPU 负载,包括容器是否正在被节流。
curl -XGET 'localhost:9600/_node/stats/os?pretty'
示例响应
{ "os" : { "cgroup" : { "cpuacct" : { "control_group" : "/elastic1", "usage_nanos" : 378477588075 }, "cpu" : { "control_group" : "/elastic1", "cfs_period_micros" : 1000000, "cfs_quota_micros" : 800000, "stat" : { "number_of_elapsed_periods" : 4157, "number_of_times_throttled" : 460, "time_throttled_nanos" : 581617440755 } } } } }
Geoip 数据库统计信息
编辑您可以监控与 Geoip 过滤器插件一起使用的 geoip 数据库的统计信息。
curl -XGET 'localhost:9600/_node/stats/geoip_download_manager?pretty'
有关更多信息,请参阅 Geoip 过滤器插件文档中的 数据库指标。