1.标准输入 stdin
input {
stdin {
add_field:向输入数据中增加字段
codec:编解码
enable_metric:接受性能指标的值
id:标识符
tags:标记
type:增加type字段
}
}
##########################################
input {
stdin {
add_field=>{"current_time"=>"@timestamp"}
codec=>"json"
tags:["stdin-input"]
type:"stdin"
}
}2.文件 file
input {
file {
path:绝对路径
add_field:向输入数据中增加字段
close_older:关闭最后修改时间比设定时间还要久的输入文件
codec:编解码
delimiter:识别文件中不同行的分隔符
discover_interval:定义搜索间隔值
enable_metric:接受测度值,用于插件报告
exclude:排除不做为输入的文件或文件模式
id:标识符
ignore_older:忽略某个时间以来未被修改的文件
max_open_files:定义同时打开最大的文件数
sincedb_path:定义sincedb位置
sincedb_write_interval:确认sincedb文件的时间间隔
start_position:从begining到end,定义从哪里开始读取文件
start_interval:检车文件是否被修改过
tags:标记
type:增加type字段
}
}
##########################################
input {
file {
path=>["/var/log/elasticsearch/*","/var/message/*.log"]
add_field=>["[location]","%{longitude}"]
add_field=>["[location]","%{latitude}"]
exclude=>["*.txt"]
start_position=>"begining"
tags=>["file-input"]
type=>"filelogs"
}
}
#可分割为两个文件
input {
file {
path=>["/var/log/elasticsearch/*"]
tags=>["elasticsearch"]
type=>"elasticsearch"
}
file {
path=>["/var/message/*.log"]
tags=>["message"]
type=>"message"
}
}3.UDP
input {
upd {
port:端口
add_field:向输入数据中增加字段
buffer_size:最大数据包大小
codec:编解码
enable_metric:接受测度值,用于插件报告
host:主机名称
id:标识符
queue_size:驻留内存中未处理的数据包最大数目
receive_size:接受缓存大小
tags:标记
type:增加type字段
workers:线程数量
}
}
##########################################
input {
upd {
host=>"192.168.0.6"
port=>5000
workers=>4
}
}