grok filter 能讓我們使用 Grok 語法簡易的切割 Logstash field。 其可使用的設定如下： Setting Type Required Default Description add_field hash No {} If this filter is successful, add any arbitrary fields to this event. add_tag array No [] If this filter is successful, add arbitrary tags to the event. break_on_match boolean No true Break on first match. The first successful match by grok will result in the filter being finished. If you want grok to try all patterns (maybe you are parsing different things), then set this to false.

Logstash 安裝好後，可以用 Logstash 的 -e 參數帶入 Logstash 設定快速的體驗一下。 logstash -e <Setting> 像是下面這樣帶入簡單的設定，將標準輸入串流輸入的資料導到標準輸出串流。 logstash -e 'input { stdin{} } output { stdout{} }' 將資料輸入。 資料就會被輸出到標準輸出串流。 不再使用時按下熱鍵 Ctrl + D 即可退出。 除了 Input & Output 外，也可以試著設定 Filter，像是要用 Filter 去將訊息內的 IP 切成 client field，可以像下面這樣調用。 logstash -e 'input { stdin{} } filter { grok { match => { "message" => "%{IP:client}" } } } output { stdout { codec => rubydebug } }'

安裝 Logstash 前，需先確認已有安裝 Java 8。 可輸入指令查看 Java 版本。 java -version 若版本不對，可先進行 Java 8 的安裝。 apt-get install python-software-properties 加入 PPA。 add-apt-repository -y ppa:webupd8team/java 進行 apt-get 的更新。 apt-get update 透過 APT 安裝 Java 8。 apt-get -y install oracle-java8-installer Java 環境準備好後，開始進行 Logstash 的安裝。 設定 repository definition。 echo "deb http://packages.elastic.co/logstash/2.1/debian stable main" | sudo tee -a /etc/apt/sources.list.d/logstash-2.x.list 透過 APT 安裝 Logstash。 apt-get install logstash Link Installing Logstash | Logstash Reference [5.4] | Elastic