Logstash mutate filter

-
最近在研究Logstash,透過Logstash的input, filter, output可以產生出許多不同的變化... 下面是我前陣子遇到的問題,後來找到解決方案....

例如我在抓CentO6.6的rsyslog時候,我把/var/log/message中的一些syslog重倒到logstash中

$ vi /etc/rsyslog.conf

*.info;mail.none;authpriv.none;cron.none                @@10.240.58.95:514

另外,logstash server部分,透過input syslog module開啟514 port接聽syslog input...

input {
  syslog {
    port => 514
    type => syslog
  }
}

此時收到的syslog在rubydebug模式下,會類似:

{
           "message" => "Installed: mysql-5.1.73-3.el6_5.x86_64",
          "@version" => "1",
        "@timestamp" => "2015-03-25T03:50:01.000Z",
              "type" => "syslog",
              "host" => "10.240.219.254",,
        "timestamp" => "Mar 25 03:50:01"
          "priority" => 14,
         "logsource" => "simon-centos6",
           "program" => "yum",
               "pid" => "645",
          "severity" => 6,
          "facility" => 1,
    "facility_label" => "user-level",
    "severity_label" => "Informational"
}

其中,會明顯地發現有兩個timestamp的欄位... 雖然有個前面加上"@"
而這個重複的timestamp欄位會造成其他的output module錯誤,導致一些其他問題...

在找了很久,後來發現mutate這個filter module.... 透過mutate可以讓欄位改名稱、改內容、刪除欄位、增加欄位... 這樣在input與output之間的銜接,就少掉很多問題...
下面範例是透過mutate的rename function來置換我所遇到的重複key...

input {
  syslog {
    port => 514
    type => syslog
  }
}
filter {
  mutate {
    rename => [ "timestamp", "timestamp1" ]
  }
}
output {
  stdout { codec => rubydebug }
}

如果一切沒有問題,再重新執行logstash之後,可以看到新的output,其中可以看到timestamp1會被排到最後面

{
           "message" => "Installed: mysql-5.1.73-3.el6_5.x86_64",
          "@version" => "1",
        "@timestamp" => "2015-03-25T03:50:01.000Z",
              "type" => "syslog",
              "host" => "10.240.219.254",
          "priority" => 14,
         "logsource" => "simon-centos6",
           "program" => "yum",
               "pid" => "645",
          "severity" => 6,
          "facility" => 1,
    "facility_label" => "user-level",
    "severity_label" => "Informational",
        "timestamp1" => "Mar 25 03:50:01"
}


這樣傳給output的值就沒有問題了ㄛ :D

這個網誌中的熱門文章

Bash判斷參數是否存在

-
早上看到nixCraft的文章後,決定在這邊記錄一下... 透過之前提過的 -z "$var"可以判斷var這個變數是否存在 而很多的shell希望判斷可以再精簡一點... 所以會有結合[ test ]跟&&, ||來做流程的方式 其中: [ ] 裡面可以放test語句,執行完會傳出結果為true或false || 我比較不常用,看起來是如果前面為非則執行後面的程式段落 && 這個後面接的是當前面段落執行無錯誤時候,則執行後面程式段落 透過上面說明,使用"||"組句的話,我們可以把判斷是這樣寫: [ -z "$var" ] || echo "Empty"     #如果var存在為非,則echo Empty [[ -z "$var" ]] || echo "Empty"   #同上 反之,使用"&&"組句的話,可以: [ ! -z "$var" ] && echo "Empty"   # 如果var存在為是,則echo Empty [[ ! -z "$var" ]] && echo "Empty"  #同上 參考自: http://www.cyberciti.biz/faq/unix-linux-bash-script-check-if-variable-is-empty/
閱讀完整內容

使用 minikube 輕鬆上手 kubernetes

-
安裝minikube macOS只需要透過brew即可快速安裝... brew cask install minikube Linux環境可以直接下載執行檔,放到環境變數可以吃到的路徑即可... curl -Lo minikube https: / /storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64 && \ chmod +x minikube && \ sudo mv minikube /usr/local/bin/ Windows的下載網址如下: https://storage.googleapis.com/minikube/releases/latest/minikube-windows-amd64.exe 如果您的kubectl尚未安裝,可以直接使用google cloud sdk來安裝: curl https://sdk.cloud.google.com | bash gcloud components install kubectl 安裝完成後,原則上minikube會在本地端加入minikube的k8s context,我們可以透過下面指令來使用該context… kubectl config use - context minikube 然後,可檢查一下您的minikube node是否正常運作.... $ kubectl get node -o wide NAME       STATUS    AGE       VERSION   EXTERNAL- IP   OS-IMAGE            KERNEL-VERSION minikube   Ready  ...
閱讀完整內容