從一份定義檔案詳解ELK中Logstash插件結構

概述

當下分布式系統的 日志收集、日志分析、日志處理、可視化 的熱門技術棧方案當然非 ELK（ElasticSearch、Logstash、Kibana）莫屬，從 L → E → K 構成了一條資料的 Pipeline管道：

• Logstash：與資料源對接，用于收集、過濾處理你的日志、事務或其他資料
• ElasticSearch： 是一個開源的，分布式 RESTful 搜尋引擎，在 ELK中可以初略了解為資料存儲的地方
• Kibana：将 Elasticsearch 的資料分析并渲染為可視化的報表，便于高效分析

而且在我的前文

《利用 ELK搭建 Docker容器化應用日志中心》

之中，曾利用 ELK 搭建了一條資料管道，用作 Docker容器化應用的日志中心。

為什麼先講Logstash

作為與資料源 “直接對接” 的 Logstash，位置處于 ELK 資料管道的 最前端，其主要作用是 收集、過濾分析、輸出 各種結構化或者非結構化的原始資料（典型的如日志資料），原始資料從 “無序變有序” 的重擔就落在了Logstash的肩上了，是以其作用舉足輕重。

說到Logstash，不得不說其中的 插件機制，其幾乎所有的功能都是靠插件來實作的，是以靈活易用：

• 關于 資料收集，Logstash 提供了輸入插件來支援各種不同的資料源
• 關于 資料分析，Logstash 則提供了過濾器插件來支援對輸入原始資料的花式處理
• 關于 資料輸出，Logstash 也提供了各種輸出插件，進而支援将結果資料輸出到各種地方，比如标準控制台，檔案，各種資料庫包括 ElasticSearch 等

Logstash的插件管理

Logstash 插件是使用 Ruby開發的，Logstash 從很早的1.5.0+版開始，其插件子產品和核心子產品便分開維護，其插件使用的是 RubyGems包管理器來管理維護。是以 Logstash插件本質上就是自包含的RubyGems。

RubyGems（簡稱 gems）是一個用于對 Ruby元件進行打包的 Ruby 打包系統。 它提供一個分發 Ruby 程式和庫的标準格式，還提供一個管理程式包安裝的工具。

可以在網址

rubygems.org

上搜尋所有Logstash插件：

關于插件的常用操作如下：

• 安裝插件

可以線上安裝：

bin/plugin install [插件名稱]           

當然也可以将插件提前下載下傳到本地，然後本地安裝：

bin/plugin install path/logstash-xxx-x.x.x.gem           

• 解除安裝插件

bin/plugin uninstall [插件名稱]           

• 更新插件

bin/plugin update [插件名稱]           

其會将插件更新到最新的版本

Logstash的插件定義文法結構

Logstash 插件的定義其實使用的就是一套其自定義的 DSL文法，我還是習慣用圖來說明吧：

從圖中可以看出主要包含以下幾大部分内容：

1. 需要的依賴

該部分一般會用require文法引入如下依賴：

require "logstash/XXX/base"
require "logstash/namespace"           

• 前者引入 特定類型插件的依賴
• 後者引入 子產品命名空間

2. 類定義

需要用

class

文法給每一個插件定義一個類，後面我會用實際代碼說明

3. 配置插件名字

通過

config_name

文法來給插件取一個名字，這個名字将會用到

Logstash.conf

配置檔案的插件配置之中

4. 配置選項設定

可以使用

config

文法來按需定義任意個配置項。可以設定配置選項的名字、資料類型、預設值以及是否為必選項：

舉例：

config :percentage, :validate => :number, :default =>100           

• :percentage

  ：定義配置項的名字

• :validate

  ：配置指定參數的資料類型，如此處為 number類型

• :default

  ：指定配置項的預設值

• :required

  ：用于指定配置項是否必選

5. 插件方法

每一種類型的插件都需要實作一些方法，如下表所示：

插件類型	插件方法
輸入插件	register、 run
過濾器插件	register、 filter
輸出插件	register、 receive
編解碼插件	register、 encode、 decode

Logstash 插件所具備的業務處理功能就來源于上述插件方法業務邏輯實作！

好了，理論部分總結到這，下面結合一份Logstash插件定義的源碼來例析一下！

一份Logstash插件定義檔案例析

我們以 Logstash 插件的官網給出的一個 Logstash 過濾器插件 logstash-filter-example 的源碼為例來進行分析，麻雀雖小，五髒俱全！代碼解析已經标注于圖中，不再贅述。

當然此處的執行個體給出的是一個入門執行個體，畢竟不可能在一篇篇幅有限的文章裡給出一個太過複雜的 Logstash的插件源碼。對照該源碼和上一節的内容，我想應該不難了解Logstash的插件源碼結構了吧。

計劃後續展示一個 根據具體資料需求 來自定義開發一個滿足特定需求的 Logstash插件的執行個體。

後記

• 作者更多的原創文章在此，歡迎觀賞
• My Personal Blog

作者更多的SpringBt實踐文章在此：

• Spring Boot Admin2.0開箱體驗
• Spring Boot應用監控實戰
• SpringBoot應用部署于外置Tomcat容器
• ElasticSearch搜尋引擎在SpringBt中的實踐
• 初探Kotlin+SpringBoot聯合程式設計
• Spring Boot日志架構實踐
• SpringBoot優雅編碼之：Lombok加持

如果有興趣，也可以抽點時間看看作者一些關于容器化、微服務化方面的文章：

• 利用K8S技術棧打造個人私有雲 連載文章
• 從一份配置清單詳解Nginx伺服器配置
• Docker容器可視化監控中心搭建
• 利用ELK搭建Docker容器化應用日志中心
• RPC架構實踐之：Apache Thrift
• RPC架構實踐之：Google gRPC
• 微服務調用鍊追蹤中心搭建
• Docker容器跨主機通信
• Docker Swarm叢集初探
• 高效編寫Dockerfile的幾條準則