使用过Logstash的朋友都知道,它强大的插件生态几乎覆盖了所有的开源框架。从基本的http、tcp、udp、file,到强大的kafa、redis、ganglia,还有丰富的解析工具,比如date、json、grok、kv等等,有了它再也不用担心数据不好搜集了!
不过需求是无限的,如果这些框架都不满足怎么办呢?
没关系,十分佩服Logstash的作者,他以插件的方式组织每个部分,使得logstash本身具有超强的扩展性。
有过使用经验的都知道Logstash主要由输入、过滤器、输出三部分组成。
每一部分的插件都符合统一的标准,因此扩展起来也十分容易。
由于需求大多都是集中在过滤部分,因此这里就简单的介绍下过滤器的自定义写法。
官网上面的过程太过繁琐,比如:
但是如果自己用的话,上面做了很多的无用功。我这里提供一个极简的样例工程,插件的目录大致如下:
$ tree logstash-filter-example
├──lib
│ └── logstash
│ └── filters
│ └── mypluginname.rb
├── logstash-filter-example.gemspec
其实只需要这两个文件即可!
Gem::Specification.new do|s|
s.name ='logstash-filter-example'
s.version ='1.0.0'
s.licenses =['Apache License (2.0)']
s.summary =" "
s.description =" "
s.authors =["xingoo"]
s.email ='[email protected]'
s.homepage ="http://www.elastic.co/guide/en/logstash/current/index.html"
s.require_paths =["lib"]# Files
s.metadata ={"logstash_plugin"=>"true","logstash_group"=>"filter"}# Gem dependencies
s.add_runtime_dependency 'logstash-core','>= 2.0.0','< 3.0.0'
s.add_development_dependency 'logstash-devutils'
end
上面的信息,只要改改版本和名字,其他的信息基本不需要动。
关键的信息还有:
这个文件就需要详细说说了,基本的框架如下,
# encoding: utf-8
require "logstash/filters/base"
require "logstash/namespace"
class LogStash::Filters::Example < LogStash::Filters::Base
config_name "example"
config :name,:validate =>:string,:default =>"xingoo!"
public
def register
end
public
def filter(event)
event["name"] = @name
filter_matched(event)
end
end
挨行看看!
首先第一行的# encoding: utf-8
,不要以为是注释就没什么作用。它定义了插件的编码方式。
下面两行:
require "logstash/filters/base"
require "logstash/namespace"
引入了插件必备的包。
class LogStash::Filters::Example < LogStash::Filters::Base
config_name "example"
插件继承自Base基类,并配置插件的使用名称。
下面的一行对参数做了配置,参数有很多的配置属性,完整的如下:
config :variable_name,:validate =>:variable_type,:default =>"Default value",:required => boolean,:deprecated => boolean
其中
:string
, :password
, :boolean
, :number
, :array
, :hash
, :path (a file-system path)
, :codec (since 1.2.0)
, :bytes
.config :index_type, :validate => :string, :deprecated => "Please use the 'document_type' setting instead. It has the same effect, but is more appropriately named."
下面的两个方法是插件的核心了!
register
方法相当于初始化的构造方法,可以在里面进行插件的初始化工作。
filter
中则是过滤器的核心代码。
其中event是从input插件中传入的事件对象,它是Logstash::Event的对象,在logstashj-core包中,有兴趣的可以了解一下!
然后在这个方法中可以使用几个默认的方法;
filter_matched()
,该方法会把事件传入下一个过滤器add_field
、`remove_field 添加或者移除一个字段add_tags
、remove_tags
添加或者移除一个标签event.cancel
取消当前的事件,即不在继续向下走。(在split插件中有典型的使用场景)在上面的例子中,定义了一个name参数,在register
中使用@name
实例变量,把参数赋值给event对象。
这个插件的目的就是给每条事件都加上一个name属性。
至此一个插件就算编写完成了!
第一步,首先把这个插件文件夹拷贝到下面的目录中
logstash-2.1.0\vendor\bundle\jruby\1.9\gems
第二步,修改logstash根目录下的Gemfile,添加如下的内容:
gem "logstash-filter-example", :path => "vendor/bundle/jruby/1.9/gems/logstash-filter-example-1.0.0"
第三步,编写配置文件,test.conf
:
input{
stdin{
}
}
filter{
example{
name => "test name:xingoo"
}
}
output{
stdout{
codec => rubydebug
}
}
第四步,输入logstash -f test.conf时,输入任意字符,回车~~~大功告成!
是不是,没有想象中的那么难?要想要熟练的编写更复杂的插件,还需要多看官方插件的源码!
1 How to write a Logstash filter plugin