1.语法
logstash使用{}来定义区域(input,filter,output),区域内可以包括插件区域定义,你可以在一个区域内定义多个插件。插件区域内则可以定义键值对设置。
logstash正常运行至少需要input和output区域。
示例如下:
input {
stdin {
type => "test"
}
file {
path => "/var/log/messages"
type => "syslog"
}
}
filter { }
output {
stdout { codec => rubydebug }
}
2.数据类型
Logstash 支持少量的数据值类型:
bool: debug => true
string: ip => "10.10.10.1"
number: port => 22
array: match => ["logdate", "UNIX", "ISO8601"]
hash: options => { key1 => "value1", key2 => "value2"}
3.字段引用
在 Logstash 配置中使用字段的值,只需要把字段的名字写在中括号[]里就行了,比如从 geoip 里这样获取longitude值[geoip][location][0](也可以使用倒序[-1] 取最后一个值)
Logstash还支持变量内插,在字符串里使用字段引用的方法是这样:"the longitude is %{[geoip][location][0]}"
4.条件判断
比如if表达式:
if EXPRESSION {
...
} else if EXPRESSION {
...
} else {
...
}
表达式支持下面这些操作符:
==(等于), !=(不等于), <(小于), >(大于), <=(小于等于), >=(大于等于)
=~(匹配正则), !~(不匹配正则)
in(包含), not in(不包含)
and(与), or(或), nand(非与), xor(非或)
()(复合表达式), !()(对复合表达式结果取反)
5.使用系统环境变量
logstash可使用系统环境变量,比如有一个变量PORT,shell中执行export PORT=123
logstash配置:
port => ${PORT} 结果为:port => 123
如果PORT变量没有定义,会抛出错误,可以配置一个默认值
port => ${PORT:456} 结果为:port => 456
