- Logstash 参考文档其他版本
- Logstash 简介
- Logstash 入门
- Logstash 的工作原理
- 设置和运行 Logstash
- 升级 Logstash
- 创建 Logstash 管道
- 保护您的连接
- 高级 Logstash 配置
- Logstash 到 Logstash 通信
- 管理 Logstash
- 将 Logstash 与 Elastic Integrations 一起使用
- 使用 Logstash 模块
- 使用 Filebeat 模块
- 使用 Winlogbeat 模块
- 队列和数据弹性
- 转换数据
- 部署和扩展 Logstash
- 管理 GeoIP 数据库
- 性能调优
- 使用 Elastic Agent 监控 Logstash
- 监控 Logstash(旧版)
- 使用 API 监控 Logstash
- 使用插件
- 集成插件
- 输入插件
- azure_event_hubs
- beats
- cloudwatch
- couchdb_changes
- dead_letter_queue
- elastic_agent
- elastic_serverless_forwarder
- elasticsearch
- exec
- file
- ganglia
- gelf
- generator
- github
- google_cloud_storage
- google_pubsub
- graphite
- heartbeat
- http
- http_poller
- imap
- irc
- java_generator
- java_stdin
- jdbc
- jms
- jmx
- kafka
- kinesis
- logstash
- log4j
- lumberjack
- meetup
- pipe
- puppet_facter
- rabbitmq
- redis
- relp
- rss
- s3
- s3-sns-sqs
- salesforce
- snmp
- snmptrap
- sqlite
- sqs
- stdin
- stomp
- syslog
- tcp
- udp
- unix
- varnishlog
- websocket
- wmi
- xmpp
- 输出插件
- boundary
- circonus
- cloudwatch
- csv
- datadog
- datadog_metrics
- dynatrace
- elastic_app_search
- elastic_workplace_search
- elasticsearch
- exec
- file
- ganglia
- gelf
- google_bigquery
- google_cloud_storage
- google_pubsub
- graphite
- graphtastic
- http
- influxdb
- irc
- java_stdout
- juggernaut
- kafka
- librato
- logstash
- loggly
- lumberjack
- metriccatcher
- mongodb
- nagios
- nagios_nsca
- opentsdb
- pagerduty
- pipe
- rabbitmq
- redis
- redmine
- riak
- riemann
- s3
- sink
- sns
- solr_http
- sqs
- statsd
- stdout
- stomp
- syslog
- tcp
- timber
- udp
- webhdfs
- websocket
- xmpp
- zabbix
- 过滤器插件
- age
- aggregate
- alter
- bytes
- cidr
- cipher
- clone
- csv
- date
- de_dot
- dissect
- dns
- drop
- elapsed
- elastic_integration
- elasticsearch
- environment
- extractnumbers
- fingerprint
- geoip
- grok
- http
- i18n
- java_uuid
- jdbc_static
- jdbc_streaming
- json
- json_encode
- kv
- memcached
- metricize
- metrics
- mutate
- prune
- range
- ruby
- sleep
- split
- syslog_pri
- threats_classifier
- throttle
- tld
- translate
- truncate
- urldecode
- useragent
- uuid
- wurfl_device_detection
- xml
- 编解码器插件
- 技巧和最佳实践
- 故障排除
- 为 Logstash 做贡献
- 贡献 Java 插件
- 重大变更
- 发行说明
- Logstash 8.17.0 发行说明
- Logstash 8.16.1 发行说明
- Logstash 8.16.0 发行说明
- Logstash 8.15.4 发行说明
- Logstash 8.15.3 发行说明
- Logstash 8.15.2 发行说明
- Logstash 8.15.1 发行说明
- Logstash 8.15.0 发行说明
- Logstash 8.14.3 发行说明
- Logstash 8.14.2 发行说明
- Logstash 8.14.1 发行说明
- Logstash 8.14.0 发行说明
- Logstash 8.13.4 发行说明
- Logstash 8.13.3 发行说明
- Logstash 8.13.2 发行说明
- Logstash 8.13.1 发行说明
- Logstash 8.13.0 发行说明
- Logstash 8.12.2 发行说明
- Logstash 8.12.1 发行说明
- Logstash 8.12.0 发行说明
- Logstash 8.11.4 发行说明
- Logstash 8.11.3 发行说明
- Logstash 8.11.2 发行说明
- Logstash 8.11.1 发行说明
- Logstash 8.11.0 发行说明
- Logstash 8.10.4 发行说明
- Logstash 8.10.3 发行说明
- Logstash 8.10.2 发行说明
- Logstash 8.10.1 发行说明
- Logstash 8.10.0 发行说明
- Logstash 8.9.2 发行说明
- Logstash 8.9.1 发行说明
- Logstash 8.9.0 发行说明
- Logstash 8.8.2 发行说明
- Logstash 8.8.1 发行说明
- Logstash 8.8.0 发行说明
- Logstash 8.7.1 发行说明
- Logstash 8.7.0 发行说明
- Logstash 8.6.2 发行说明
- Logstash 8.6.1 发行说明
- Logstash 8.6.0 发行说明
- Logstash 8.5.3 发行说明
- Logstash 8.5.2 发行说明
- Logstash 8.5.1 发行说明
- Logstash 8.5.0 发行说明
- Logstash 8.4.2 发行说明
- Logstash 8.4.1 发行说明
- Logstash 8.4.0 发行说明
- Logstash 8.3.3 发行说明
- Logstash 8.3.2 发行说明
- Logstash 8.3.1 发行说明
- Logstash 8.3.0 发行说明
- Logstash 8.2.3 发行说明
- Logstash 8.2.2 发行说明
- Logstash 8.2.1 发行说明
- Logstash 8.2.0 发行说明
- Logstash 8.1.3 发行说明
- Logstash 8.1.2 发行说明
- Logstash 8.1.1 发行说明
- Logstash 8.1.0 发行说明
- Logstash 8.0.1 发行说明
- Logstash 8.0.0 发行说明
- Logstash 8.0.0-rc2 发行说明
- Logstash 8.0.0-rc1 发行说明
- Logstash 8.0.0-beta1 发行说明
- Logstash 8.0.0-alpha2 发行说明
- Logstash 8.0.0-alpha1 发行说明
使用插件
编辑使用插件
编辑macOS Gatekeeper 警告
Apple 推出了更严格的公证要求,这影响了 8.17.0 Logstash 制品的公证。如果 macOS Catalina 在您首次运行 Logstash 时显示对话框,您需要采取操作以允许其运行。为了防止 Gatekeeper 对 Logstash 文件进行检查,请在下载的 .tar.gz 归档文件或解压到的目录上运行以下命令
xattr -d -r com.apple.quarantine <archive-or-directory>
例如,如果 .tar.gz 文件被解压到默认的 logstash-8.17.0 目录,则该命令为
xattr -d -r com.apple.quarantine logstash-8.17.0
或者,如果出现 Gatekeeper 弹出窗口,您可以按照 在 Mac 上安全打开应用 的如何打开未公证或来自未识别开发者的应用部分中的说明添加安全覆盖。
Logstash 拥有丰富的输入、过滤器、编解码器和输出插件集合。查看 Elastic 支持矩阵,了解哪些插件在各个级别得到支持。
插件以称为 gem 的自包含软件包的形式提供,并托管在 RubyGems.org 上。使用插件管理器脚本 -- bin/logstash-plugin -- 来管理插件
没有网络连接?
编辑如果您没有网络连接,请查看 离线插件管理,了解有关 构建、安装 和 更新 离线插件包的信息。
代理配置
编辑大多数插件管理器命令都需要访问互联网才能到达 RubyGems.org。如果您的组织位于防火墙后面,您可以设置这些环境变量来配置 Logstash 以使用您的代理。
export http_proxy=https://127.0.0.1:3128 export https_proxy=https://127.0.0.1:3128
列出插件
编辑Logstash 发布包捆绑了常用插件。要列出当前部署中可用的插件
bin/logstash-plugin list bin/logstash-plugin list --verbose bin/logstash-plugin list '*namefragment*' bin/logstash-plugin list --group output
向部署中添加插件
编辑当您可以访问互联网时,您可以检索托管在 RubyGems.org 公共存储库上的插件,并将它们安装到您的 Logstash 安装之上。
bin/logstash-plugin install logstash-input-github
成功安装插件后,您可以在配置文件中使用它。
更新插件
编辑插件有自己的发布周期,并且通常独立于 Logstash 的核心发布周期发布。使用 update 子命令,您可以获取插件的最新版本。
移除插件
编辑如果您需要从 Logstash 安装中删除插件
bin/logstash-plugin remove logstash-input-github
高级:添加本地构建的插件
编辑在某些情况下,您可能需要安装尚未发布且未托管在 RubyGems.org 上的插件。Logstash 为您提供了安装本地构建的插件的选项,该插件打包为 ruby gem。使用文件位置
bin/logstash-plugin install /path/to/logstash-output-kafka-1.0.0.gem
高级:使用 --path.plugins
编辑使用 Logstash --path.plugins 标志,您可以加载位于文件系统上的插件源代码。通常,这由正在迭代自定义插件并希望在创建 ruby gem 之前对其进行测试的开发人员使用。
路径需要在特定的目录层次结构中:PATH/logstash/TYPE/NAME.rb,其中 TYPE 是 inputs filters, outputs 或 codecs,NAME 是插件的名称。
# supposing the code is in /opt/shared/lib/logstash/inputs/my-custom-plugin-code.rb bin/logstash --path.plugins /opt/shared/lib