Logstash mutate filter

-
最近在研究Logstash,透過Logstash的input, filter, output可以產生出許多不同的變化... 下面是我前陣子遇到的問題,後來找到解決方案....

例如我在抓CentO6.6的rsyslog時候,我把/var/log/message中的一些syslog重倒到logstash中

$ vi /etc/rsyslog.conf

*.info;mail.none;authpriv.none;cron.none                @@10.240.58.95:514

另外,logstash server部分,透過input syslog module開啟514 port接聽syslog input...

input {
  syslog {
    port => 514
    type => syslog
  }
}

此時收到的syslog在rubydebug模式下,會類似:

{
           "message" => "Installed: mysql-5.1.73-3.el6_5.x86_64",
          "@version" => "1",
        "@timestamp" => "2015-03-25T03:50:01.000Z",
              "type" => "syslog",
              "host" => "10.240.219.254",,
        "timestamp" => "Mar 25 03:50:01"
          "priority" => 14,
         "logsource" => "simon-centos6",
           "program" => "yum",
               "pid" => "645",
          "severity" => 6,
          "facility" => 1,
    "facility_label" => "user-level",
    "severity_label" => "Informational"
}

其中,會明顯地發現有兩個timestamp的欄位... 雖然有個前面加上"@"
而這個重複的timestamp欄位會造成其他的output module錯誤,導致一些其他問題...

在找了很久,後來發現mutate這個filter module.... 透過mutate可以讓欄位改名稱、改內容、刪除欄位、增加欄位... 這樣在input與output之間的銜接,就少掉很多問題...
下面範例是透過mutate的rename function來置換我所遇到的重複key...

input {
  syslog {
    port => 514
    type => syslog
  }
}
filter {
  mutate {
    rename => [ "timestamp", "timestamp1" ]
  }
}
output {
  stdout { codec => rubydebug }
}

如果一切沒有問題,再重新執行logstash之後,可以看到新的output,其中可以看到timestamp1會被排到最後面

{
           "message" => "Installed: mysql-5.1.73-3.el6_5.x86_64",
          "@version" => "1",
        "@timestamp" => "2015-03-25T03:50:01.000Z",
              "type" => "syslog",
              "host" => "10.240.219.254",
          "priority" => 14,
         "logsource" => "simon-centos6",
           "program" => "yum",
               "pid" => "645",
          "severity" => 6,
          "facility" => 1,
    "facility_label" => "user-level",
    "severity_label" => "Informational",
        "timestamp1" => "Mar 25 03:50:01"
}


這樣傳給output的值就沒有問題了ㄛ :D

這個網誌中的熱門文章

Bash判斷參數是否存在

-
早上看到nixCraft的文章後,決定在這邊記錄一下... 透過之前提過的 -z "$var"可以判斷var這個變數是否存在 而很多的shell希望判斷可以再精簡一點... 所以會有結合[ test ]跟&&, ||來做流程的方式 其中: [ ] 裡面可以放test語句,執行完會傳出結果為true或false || 我比較不常用,看起來是如果前面為非則執行後面的程式段落 && 這個後面接的是當前面段落執行無錯誤時候,則執行後面程式段落 透過上面說明,使用"||"組句的話,我們可以把判斷是這樣寫: [ -z "$var" ] || echo "Empty"     #如果var存在為非,則echo Empty [[ -z "$var" ]] || echo "Empty"   #同上 反之,使用"&&"組句的話,可以: [ ! -z "$var" ] && echo "Empty"   # 如果var存在為是,則echo Empty [[ ! -z "$var" ]] && echo "Empty"  #同上 參考自: http://www.cyberciti.biz/faq/unix-linux-bash-script-check-if-variable-is-empty/
閱讀完整內容

Node.js package : forever

-
forever為一套node.js維運套件 透過監控程式健康狀態來管理node.js程式,並在異常關閉時候重新啓動您的程式,這樣就不用怕程式因為沒有handle的exception導致異常關閉時候不能提供服務拉! forever的安裝與使用相當簡單: 1.首先,安裝forever套件(當然,您需要先有node.js與npm套件拉!),其中 -g 很重要,因為您必須要安裝到系統目錄,才能夠支援在任何環境下啟動forever程式 # npm install forever -g 2.使用forever管理您的node.js程式: (這邊假設我們建立了一個express專案,app.js的路徑是/tmp/TestPrj/app.js) 啟動您的node.js程式: forever start [node.js application path] # forever start /tmp/TestPrj/app.js  info:   Forever processing file: /tmp/TestPrj/app.js 檢視已啓動的forever程式(就是您使用forever啓動的node.js程式): forever list # forever list info:   Forever processes running data:       uid  command script              forever pid   logfile                          uptime         data:   [0] P0Fa node    /tmp/TestPrj/app.js 50062   50079 /Users/simonsu/.forever/P0Fa.log 0:1:49:10.335  關閉已啓動的Node程式: forever stop [forever process id] # forever stop 0 info:   Forever stopped process: data:       uid  command script              forever pid   logfile      
閱讀完整內容