面试题手册

Kubernetes 中的 Pod 是最小的可部署单元，它包含一个或多个紧密相关的容器，这些容器共享网络和存储资源。Pod 的特点共享网络命名空间：同一个 Pod 中的容器共享同一个 IP 地址和端口空间，可以通过 localhost 相互通信。共享存储卷：Pod 中的容器可以共享挂载的存储卷，实现数据共享和持久化。原子性调度：Pod 作为一个整体被调度到同一个 Node 上运行。临时性：Pod 是临时的、可替换的，当 Pod 被删除或 Node 发生故障时，Pod 不会自动恢复。Pod 的生命周期Pod 的生命周期包括以下阶段：Pending：Pod 已被创建，但容器尚未启动，可能是因为镜像下载中或资源不足。Running：Pod 中的所有容器都已创建，至少有一个容器正在运行。Succeeded：Pod 中的所有容器都已成功终止。Failed：Pod 中的所有容器都已终止，但至少有一个容器以失败状态终止。Unknown：无法获取 Pod 的状态，通常是因为与 Pod 所在的 Node 通信失败。Pod 的重启策略Kubernetes 支持三种 Pod 重启策略：Always：容器失败时总是重启，这是默认策略。OnFailure：只有在容器以非零退出码失败时才重启。Never：容器失败时不重启。Pod 与容器的关系Pod 是容器的封装，一个 Pod 可以包含：单个主容器（最常见）一个主容器加一个或多个辅助容器（Sidecar 模式）多个协作的容器最佳实践一个 Pod 一个容器：对于大多数应用，建议一个 Pod 只包含一个容器，这样可以更好地管理和扩展。使用 Sidecar 模式：当需要多个紧密协作的容器时，可以使用 Sidecar 模式，例如日志收集、监控代理等。避免在 Pod 中运行多个不相关的容器：这会增加管理的复杂性，不利于扩展和故障排查。合理设置资源限制：为 Pod 设置 CPU 和内存的 requests 和 limits，避免资源争用。使用健康检查：配置 livenessProbe 和 readinessProbe，确保 Pod 的健康状态。

Kubernetes Service 是定义一组 Pod 的访问策略的抽象，它为 Pod 提供稳定的网络端点，即使 Pod 的 IP 地址发生变化，Service 也能保证服务的可访问性。Service 的作用服务发现：Service 为一组 Pod 提供统一的访问入口，客户端不需要知道具体的 Pod IP 地址。负载均衡：Service 自动将流量分发到后端的多个 Pod，实现负载均衡。稳定的网络标识：Service 拥有固定的 IP 地址和 DNS 名称，即使 Pod 重新创建，Service 的地址也不会改变。Service 的类型Kubernetes 支持四种 Service 类型：ClusterIP（默认）：在集群内部暴露服务只能从集群内部访问适合内部服务之间的通信NodePort：在每个 Node 上开放一个端口可以通过 NodeIP:Port 从外部访问端口范围：30000-32767LoadBalancer：在云提供商处创建外部负载均衡器自动将流量分发到 NodePort需要云提供商支持ExternalName：将服务映射到外部 DNS 名称不创建代理或负载均衡器适用于访问外部服务Service 的工作原理Service 通过 kube-proxy 实现：iptables 模式（默认）：kube-proxy 监听 API Server 的 Service 和 Endpoint 变化使用 iptables 规则将流量转发到后端 Pod性能较好，但更新规则时会有延迟IPVS 模式：使用 Linux IPVS（IP Virtual Server）实现负载均衡支持多种负载均衡算法（轮询、最少连接等）性能更高，适合大规模集群Service 的选择器Service 通过 selector 选择要代理的 Pod：apiVersion: v1kind: Servicemetadata: name: my-servicespec: selector: app: my-app ports: - protocol: TCP port: 80 targetPort: 8080EndpointService 的后端由 Endpoint 对象维护，Endpoint 包含所有匹配 selector 的 Pod 的 IP 地址和端口。无选择器的 ServiceService 可以不指定 selector，此时需要手动创建 Endpoint 对象，用于：访问集群外部的服务访问其他命名空间的服务访问外部数据库等最佳实践使用 ClusterIP 作为默认类型：除非需要外部访问，否则使用 ClusterIP 以提高安全性。合理设置 sessionAffinity：对于有状态的应用，可以设置 sessionAffinity 为 ClientIP，实现会话保持。使用 Headless Service：对于需要直接访问 Pod 的场景（如 StatefulSet），可以使用 Headless Service（ClusterIP: None）。监控 Service 的健康状态：定期检查 Endpoint 的状态，确保后端 Pod 正常。使用 Ingress 替代 LoadBalancer：对于 HTTP/HTTPS 服务，使用 Ingress 可以更灵活地管理路由和 SSL。

Kubernetes PersistentVolume（PV）和 PersistentVolumeClaim（PVC）是用于管理存储的两种重要资源，它们实现了存储资源的声明式管理和动态分配。PersistentVolume（PV）PersistentVolume 是集群中的一块存储，由管理员预先配置或通过存储类动态创建。PV 是集群级别的资源，独立于 Pod 的生命周期。PV 的生命周期Provisioning（配置）：静态配置：管理员手动创建 PV动态配置：通过 StorageClass 自动创建Binding（绑定）：PVC 请求存储时，控制器将 PVC 绑定到合适的 PV绑定是一对一的，一旦绑定，PV 就专属于该 PVCUsing（使用）：Pod 通过 PVC 使用存储存储可以挂载到 Pod 的指定路径Releasing（释放）：PVC 删除后，PV 进入 Released 状态PV 中的数据仍然保留Reclaiming（回收）：Retain（保留）：手动回收Recycle（回收）：已废弃，使用动态配置替代Delete（删除）：自动删除 PV 和底层存储PV 的访问模式ReadWriteOnce（RWO）：卷可以被单个节点以读写模式挂载适用于块存储ReadOnlyMany（ROX）：卷可以被多个节点以只读模式挂载适用于共享只读数据ReadWriteMany（RWX）：卷可以被多个节点以读写模式挂载适用于文件系统（如 NFS）ReadWriteOncePod（RWOP）：卷可以被单个 Pod 以读写模式挂载确保同一时间只有一个 Pod 访问PV 的状态Available：可用，未绑定到任何 PVCBound：已绑定到 PVCReleased：PVC 已删除，但资源尚未被集群回收Failed：自动回收失败PersistentVolumeClaim（PVC）PVC 是用户对存储的请求，类似于 Pod 对计算资源的请求。PVC 是命名空间级别的资源。PVC 的配置apiVersion: v1kind: PersistentVolumeClaimmetadata: name: my-pvcspec: accessModes: - ReadWriteOnce resources: requests: storage: 10Gi storageClassName: standard selector: matchLabels: environment: productionPVC 的使用在 Pod 中使用 PVC：apiVersion: v1kind: Podmetadata: name: my-podspec: containers: - name: my-container image: nginx volumeMounts: - name: my-volume mountPath: /data volumes: - name: my-volume persistentVolumeClaim: claimName: my-pvc在 Deployment 中使用 PVC：apiVersion: apps/v1kind: Deploymentmetadata: name: my-deploymentspec: replicas: 3 selector: matchLabels: app: my-app template: metadata: labels: app: my-app spec: volumes: - name: my-volume persistentVolumeClaim: claimName: my-pvc containers: - name: my-container image: nginx volumeMounts: - name: my-volume mountPath: /dataStorageClassStorageClass 定义了不同类型的存储，支持动态配置 PV。StorageClass 的配置apiVersion: storage.k8s.io/v1kind: StorageClassmetadata: name: fastprovisioner: kubernetes.io/aws-ebsparameters: type: gp2 iopsPerGB: "10"reclaimPolicy: DeletevolumeBindingMode: WaitForFirstConsumerallowVolumeExpansion: true常见的 Provisionerkubernetes.io/aws-ebs：AWS EBS 块存储kubernetes.io/gce-pd：GCE 持久化磁盘kubernetes.io/azure-disk：Azure 磁盘kubernetes.io/azure-file：Azure 文件存储kubernetes.io/cinder：OpenStack Cinderkubernetes.io/nfs：NFS 存储rancher.io/local-path：本地路径存储StorageClass 参数provisioner：存储提供者parameters：存储提供者特定的参数reclaimPolicy：回收策略（Delete 或 Retain）volumeBindingMode：Immediate：立即绑定WaitForFirstConsumer：等待第一个消费者allowVolumeExpansion：是否允许卷扩展动态配置动态配置允许根据 PVC 自动创建 PV，无需管理员手动创建。动态配置流程用户创建 PVC，指定 StorageClassPersistentVolumeController 监听到 PVC控制器调用 StorageClass 的 provisioner 创建 PVPV 绑定到 PVCPod 可以使用 PVC动态配置示例apiVersion: v1kind: PersistentVolumeClaimmetadata: name: dynamic-pvcspec: accessModes: - ReadWriteOnce resources: requests: storage: 5Gi storageClassName: fast静态配置静态配置需要管理员手动创建 PV，适用于特定的存储需求。静态 PV 示例apiVersion: v1kind: PersistentVolumemetadata: name: manual-pv labels: type: localspec: storageClassName: manual capacity: storage: 10Gi accessModes: - ReadWriteOnce persistentVolumeReclaimPolicy: Retain hostPath: path: /mnt/dataPV 和 PVC 的区别| 特性 | PV | PVC ||------|----|-----|| 作用域 | 集群级别 | 命名空间级别 || 创建者 | 管理员或动态配置 | 用户 || 用途 | 提供存储资源 | 请求存储资源 || 生命周期 | 独立于 Pod | 依赖于 Pod |最佳实践使用动态配置：优先使用 StorageClass 动态配置，减少手动管理设置合理的回收策略：生产环境使用 Retain，测试环境使用 Delete使用访问模式：根据应用需求选择合适的访问模式监控存储使用：监控 PV 和 PVC 的使用情况备份重要数据：定期备份 PV 中的重要数据使用标签和注解：为 PV 和 PVC 添加有意义的标签和注解设置资源限制：为 PVC 设置合理的存储请求使用存储类：为不同的应用需求创建不同的 StorageClass故障排查查看 PV 状态：kubectl get pvkubectl describe pv <pv-name>查看 PVC 状态：kubectl get pvckubectl describe pvc <pvc-name>查看 StorageClass：kubectl get storageclasskubectl describe storageclass <sc-name>查看 Pod 挂载情况：kubectl describe pod <pod-name>查看事件：kubectl get events --sort-by=.metadata.creationTimestamp

Logstash 是一个开源的服务器端数据处理管道，能够同时从多个来源采集数据，转换数据，然后将数据发送到您最喜欢的"存储库"中。核心功能Logstash 的主要功能包括：数据采集：从各种数据源收集日志和事件数据数据转换：解析、过滤、丰富和规范化数据数据输出：将处理后的数据发送到目标存储系统工作原理Logstash 采用插件式架构，主要包含三个组件：1. Input 插件负责从数据源读取数据，常见的数据源包括：文件（File）系统日志（Syslog）网络协议（HTTP、TCP、UDP）消息队列（Kafka、RabbitMQ）数据库（JDBC）Beats（Filebeat、Metricbeat 等）2. Filter 插件对数据进行解析、过滤和转换，常用的过滤器包括：grok：将非结构化数据解析为结构化格式mutate：对字段进行重命名、删除、替换等操作date：解析时间戳并转换为 Logstash @timestamp 字段geoip：根据 IP 地址添加地理位置信息ruby：使用 Ruby 代码进行复杂的数据转换3. Output 插件将处理后的数据发送到目标系统，常见的输出目标包括：Elasticsearch文件系统消息队列数据库监控系统典型应用场景日志聚合：收集分布式系统中的各种日志日志分析：对日志进行解析、过滤和结构化数据转换：将不同格式的数据转换为统一格式实时监控：实时处理和转发监控数据ELK Stack：与 Elasticsearch 和 Kibana 组成完整的日志分析平台优势特点灵活性：支持多种输入和输出格式可扩展性：丰富的插件生态系统实时处理：支持流式数据处理易于配置：使用简单的配置文件定义数据处理流程高可用性：支持集群部署和负载均衡

Logstash 支持条件判断语句，可以根据字段值、标签或其他条件来控制数据流。这使得我们能够对不同的数据应用不同的处理逻辑。条件判断语法Logstash 支持以下条件操作符：比较操作符==：等于!=：不等于<：小于>：大于<=：小于等于>=：大于等于逻辑操作符and：逻辑与or：逻辑或nand：逻辑与非xor：逻辑异或not：逻辑非正则表达式=~：匹配正则表达式!~：不匹配正则表达式包含操作in：包含在数组中not in：不包含在数组中基本条件判断if 语句filter { if [type] == "apache" { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } }}if-else 语句filter { if [type] == "apache" { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } } else if [type] == "nginx" { grok { match => { "message" => "%{NGINXACCESS}" } } } else { grok { match => { "message" => "%{COMMONAPACHELOG}" } } }}字段值判断字符串比较filter { if [log_level] == "ERROR" { mutate { add_tag => ["error_log"] } }}数值比较filter { if [response] >= 400 { mutate { add_tag => ["http_error"] } }}正则表达式匹配filter { if [message] =~ /exception/i { mutate { add_tag => ["exception"] } }}标签判断检查标签是否存在filter { if "error" in [tags] { # 处理错误日志 }}添加标签filter { if [status] >= 500 { mutate { add_tag => ["server_error"] } } else if [status] >= 400 { mutate { add_tag => ["client_error"] } }}复杂条件判断多条件组合filter { if [type] == "apache" and [response] >= 400 { mutate { add_tag => ["apache_error"] } }}使用括号分组filter { if ([type] == "apache" or [type] == "nginx") and [response] >= 400 { mutate { add_tag => ["web_error"] } }}嵌套条件filter { if [type] == "apache" { if [response] >= 500 { mutate { add_tag => ["apache_server_error"] } } else if [response] >= 400 { mutate { add_tag => ["apache_client_error"] } } }}在 Input 中使用条件判断input { file { path => "/var/log/*.log" type => "system" } if [type] == "system" { file { path => "/var/log/syslog" type => "syslog" } }}在 Filter 中使用条件判断根据字段值应用不同的过滤器filter { if [type] == "json" { json { source => "message" } } else { grok { match => { "message" => "%{COMMONAPACHELOG}" } } }}处理解析失败filter { grok { match => { "message" => "%{PATTERN:field}" } tag_on_failure => ["_grokparsefailure"] } if "_grokparsefailure" in [tags] { # 处理解析失败的情况 mutate { add_field => { "parse_error" => "true" } } }}在 Output 中使用条件判断根据日志级别路由到不同的索引output { if [log_level] == "ERROR" { elasticsearch { hosts => ["http://localhost:9200"] index => "error-logs-%{+YYYY.MM.dd}" } } else { elasticsearch { hosts => ["http://localhost:9200"] index => "access-logs-%{+YYYY.MM.dd}" } }}多输出条件路由output { # 错误日志发送到专门的索引 if [level] == "ERROR" { elasticsearch { hosts => ["http://localhost:9200"] index => "errors-%{+YYYY.MM.dd}" } } # 访问日志发送到 Kafka if [type] == "access" { kafka { bootstrap_servers => "localhost:9092" topic_id => "access-logs" } } # 所有日志都输出到文件备份 file { path => "/backup/all-logs.log" }}字段存在性检查检查字段是否存在filter { if [user_id] { # user_id 字段存在 mutate { add_tag => ["has_user_id"] } }}检查字段是否为空filter { if [user_id] and [user_id] != "" { # user_id 字段存在且不为空 mutate { add_tag => ["valid_user_id"] } }}数组操作检查数组是否包含元素filter { if "error" in [tags] { # tags 数组包含 "error" }}检查数组长度filter { if [tags] and [tags].length > 0 { # tags 数组不为空 }}最佳实践使用条件判断提高性能：避免对不必要的数据进行处理合理使用标签：使用标签标记不同类型的数据处理异常情况：使用条件判断处理解析失败等异常代码可读性：使用括号和缩进提高配置文件的可读性测试验证：使用测试数据验证条件判断逻辑实际应用示例完整的日志处理流程input { file { path => "/var/log/app/*.log" start_position => "beginning" }}filter { # 根据日志类型应用不同的解析逻辑 if [message] =~ /^\{/ { # JSON 格式日志 json { source => "message" } } else { # 文本格式日志 grok { match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} \[%{LOGLEVEL:level}\] %{GREEDYDATA:msg}" } } } # 根据日志级别添加标签 if [level] == "ERROR" or [level] == "FATAL" { mutate { add_tag => ["error", "alert"] } } # 解析时间戳 if [timestamp] { date { match => ["timestamp", "ISO8601"] } }}output { # 错误日志发送到专门的索引 if "alert" in [tags] { elasticsearch { hosts => ["http://localhost:9200"] index => "alerts-%{+YYYY.MM.dd}" } } else { elasticsearch { hosts => ["http://localhost:9200"] index => "logs-%{+YYYY.MM.dd}" } }}

Logstash 支持集群部署，可以通过多个 Logstash 实例组成集群来提高处理能力和可用性。以下是 Logstash 集群部署和管理的相关内容。集群架构单机部署数据源 → Logstash → Elasticsearch适用于小规模场景，单台 Logstash 实例处理所有数据。集群部署数据源 → 负载均衡器 → Logstash 集群 → Elasticsearch ├── Logstash Node 1 ├── Logstash Node 2 └── Logstash Node 3适用于大规模场景，多个 Logstash 实例分担负载。负载均衡策略1. 使用 Beats 负载均衡# Filebeat 配置output.logstash: hosts: ["logstash1:5044", "logstash2:5044", "logstash3:5044"] loadbalance: true worker: 22. 使用消息队列数据源 → Kafka → Logstash 集群 → Elasticsearch ├── Logstash 1 ├── Logstash 2 └── Logstash 33. 使用负载均衡器数据源 → Nginx/HAProxy → Logstash 集群 → Elasticsearch持久化队列Logstash 支持持久化队列，可以在重启时保留数据，防止数据丢失。启用持久化队列# logstash.ymlqueue.type: persistedpath.queue: /path/to/queue/dataqueue.page_capacity: 250mbqueue.max_events: 0queue.max_bytes: 1gbqueue.drain: true内存队列# logstash.ymlqueue.type: memoryqueue.max_events: 10000配置管理1. 配置文件同步使用配置管理工具（如 Ansible、Puppet、Chef）同步配置文件到所有节点。2. 配置中心使用配置中心（如 Consul、etcd）管理配置。3. 配置版本控制将配置文件纳入版本控制系统（Git）。监控和告警1. Logstash 监控 API# 查看节点信息curl -XGET 'localhost:9600/_node'# 查看管道统计curl -XGET 'localhost:9600/_node/stats/pipelines?pretty'# 查看插件统计curl -XGET 'localhost:9600/_node/stats/plugins?pretty'2. Prometheus 集成# logstash.ymlhttp.host: "0.0.0.0"http.port: 9600monitoring.enabled: truemonitoring.elasticsearch.hosts: ["http://es:9200"]3. 关键指标Events per second (EPS)Pipeline latencyQueue sizeJVM memory usageCPU usage高可用性1. 多实例部署部署多个 Logstash 实例，避免单点故障。2. 持久化队列启用持久化队列，防止数据丢失。3. 健康检查配置健康检查，自动重启失败的实例。4. 自动扩缩容根据负载自动调整实例数量。性能调优1. Pipeline Workers# logstash.ymlpipeline.workers: 4设置为 CPU 核心数的 1-2 倍。2. Batch Size# logstash.ymlpipeline.batch.size: 500增加批量大小可以提高吞吐量。3. JVM 内存# config/jvm.options-Xms4g-Xmx4g4. 垃圾回收器# config/jvm.options-XX:+UseG1GC故障排查1. 查看日志tail -f /var/log/logstash/logstash-plain.log2. 检查配置bin/logstash --config.test_and_exit -f /path/to/config.conf3. 调试模式bin/logstash --config.debug -f /path/to/config.conf4. 查看管道状态curl -XGET 'localhost:9600/_node/stats/pipelines?pretty'实际部署示例Docker Compose 部署version: '3'services: logstash1: image: docker.elastic.co/logstash/logstash:8.0.0 volumes: - ./config/logstash1.conf:/usr/share/logstash/pipeline/logstash.conf - ./config/logstash.yml:/usr/share/logstash/config/logstash.yml ports: - "5044:5044" - "9600:9600" environment: - "LS_JAVA_OPTS=-Xms2g -Xmx2g" logstash2: image: docker.elastic.co/logstash/logstash:8.0.0 volumes: - ./config/logstash2.conf:/usr/share/logstash/pipeline/logstash.conf - ./config/logstash.yml:/usr/share/logstash/config/logstash.yml ports: - "5045:5044" - "9601:9600" environment: - "LS_JAVA_OPTS=-Xms2g -Xmx2g"Kubernetes 部署apiVersion: apps/v1kind: Deploymentmetadata: name: logstashspec: replicas: 3 selector: matchLabels: app: logstash template: metadata: labels: app: logstash spec: containers: - name: logstash image: docker.elastic.co/logstash/logstash:8.0.0 ports: - containerPort: 5044 - containerPort: 9600 resources: limits: memory: "4Gi" cpu: "2" requests: memory: "2Gi" cpu: "1" volumeMounts: - name: config mountPath: /usr/share/logstash/pipeline volumes: - name: config configMap: name: logstash-config最佳实践规划容量：根据数据量规划集群规模监控告警：建立完善的监控和告警机制配置管理：使用配置管理工具统一管理配置数据备份：定期备份配置和数据安全加固：启用 SSL/TLS，配置访问控制性能测试：上线前进行充分的性能测试文档记录：记录部署和运维文档

Logstash 支持多种输出插件，可以将处理后的数据发送到各种目标系统。以下是常用的输出插件及其配置方法。1. Elasticsearch 输出插件Elasticsearch 是 Logstash 最常用的输出目标。基本配置output { elasticsearch { hosts => ["http://localhost:9200"] index => "logstash-%{+YYYY.MM.dd}" }}重要参数hosts：Elasticsearch 节点地址列表index：索引名称，支持日期模式document_type：文档类型（ES 7.x 后已废弃）document_id：文档 IDaction：操作类型（index、create、update、delete）pipeline：ES 管道名称高级配置output { elasticsearch { hosts => ["http://es1:9200", "http://es2:9200"] index => "app-logs-%{[service]}-%{+YYYY.MM.dd}" document_id => "%{[@metadata][_id]}" action => "update" doc_as_upsert => true pipeline => "timestamp_pipeline" # 性能优化 flush_size => 500 idle_flush_time => 1 retry_on_conflict => 3 # SSL 配置 ssl => true cacert => "/path/to/ca.crt" user => "elastic" password => "changeme" }}条件索引output { if [type] == "error" { elasticsearch { hosts => ["http://localhost:9200"] index => "error-logs-%{+YYYY.MM.dd}" } } else { elasticsearch { hosts => ["http://localhost:9200"] index => "access-logs-%{+YYYY.MM.dd}" } }}2. File 输出插件File 插件将数据写入文件系统。基本配置output { file { path => "/path/to/output.log" }}重要参数path：输出文件路径codec：编解码器flush_interval：刷新间隔gzip：启用 gzip 压缩高级配置output { file { path => "/var/log/logstash/%{type}-%{+YYYY-MM-dd}.log" codec => line { format => "%{message}" } flush_interval => 5 gzip => true file_mode => 0644 dir_mode => 0755 }}3. Kafka 输出插件Kafka 插件将数据发送到 Kafka 消息队列。基本配置output { kafka { bootstrap_servers => "localhost:9092" topic_id => "processed-logs" }}重要参数bootstrap_servers：Kafka 服务器地址topic_id：主题名称codec：编解码器compression_type：压缩类型（none、gzip、snappy、lz4、zstd）高级配置output { kafka { bootstrap_servers => ["kafka1:9092", "kafka2:9092"] topic_id => "processed-logs" codec => "json" compression_type => "snappy" acks => "all" retries => 3 batch_size => 16384 linger_ms => 10 buffer_memory => 33554432 # SSL 配置 security_protocol => "SSL" ssl_keystore_location => "/path/to/keystore.jks" ssl_keystore_password => "password" ssl_truststore_location => "/path/to/truststore.jks" ssl_truststore_password => "password" }}动态主题output { kafka { bootstrap_servers => "localhost:9092" topic_id => "%{[service]}-logs" }}4. Redis 输出插件Redis 插件将数据发送到 Redis。基本配置output { redis { host => "localhost" port => 6379 data_type => "list" key => "logstash" }}数据类型list：列表类型channel：发布订阅频道set：集合类型高级配置output { redis { host => "redis.example.com" port => 6379 data_type => "list" key => "logstash-%{[type]}" codec => "json" db => 0 password => "secret" timeout => 5 reconnect_attempts => 3 reconnect_interval => 2 }}5. HTTP 输出插件HTTP 插件通过 HTTP 接口发送数据。基本配置output { http { url => "http://example.com/api/logs" http_method => "post" format => "json" }}重要参数url：目标 URLhttp_method：HTTP 方法（post、put、patch）format：数据格式（json、form、message）headers：HTTP 请求头高级配置output { http { url => "http://api.example.com/v1/logs" http_method => "post" format => "json" headers => { "Content-Type" => "application/json" "Authorization" => "Bearer %{[api_token]}" } mapping => { "timestamp" => "%{@timestamp}" "message" => "%{message}" "level" => "%{[log_level]}" } pool_size => 50 pool_max_per_route => 25 keepalive => true retry_non_idempotent => true }}6. Stdout 输出插件Stdout 插件将数据输出到标准输出，常用于调试。基本配置output { stdout { codec => rubydebug }}编解码器选项rubydebug：格式化输出json：JSON 格式json_lines：每行一个 JSONdots：点号输出7. 多输出配置可以同时配置多个输出插件：output { # 输出到 Elasticsearch elasticsearch { hosts => ["http://localhost:9200"] index => "logs-%{+YYYY.MM.dd}" } # 同时输出到文件备份 file { path => "/backup/logs-%{+YYYY-MM-dd}.log" } # 错误日志发送到 Kafka if [level] == "ERROR" { kafka { bootstrap_servers => "localhost:9092" topic_id => "error-logs" } }}8. 条件输出使用条件语句控制数据流向：output { if [type] == "apache" { elasticsearch { hosts => ["http://localhost:9200"] index => "apache-%{+YYYY.MM.dd}" } } else if [type] == "nginx" { elasticsearch { hosts => ["http://localhost:9200"] index => "nginx-%{+YYYY.MM.dd}" } } else { file { path => "/var/log/other-logs.log" } }}最佳实践批量写入：使用 flushsize 和 idleflush_time 优化性能错误处理：配置重试机制和错误日志索引策略：合理设计索引命名和分片策略安全配置：使用 SSL/TLS 保护数据传输监控指标：监控输出插件的性能指标备份策略：重要数据配置多个输出目标

Logstash 支持多种输入插件，可以从各种数据源收集数据。以下是常用的输入插件及其使用方法。1. File 输入插件File 插件用于从文件系统读取日志文件。基本配置input { file { path => "/var/log/*.log" start_position => "beginning" sincedb_path => "/dev/null" }}重要参数path：要读取的文件路径，支持通配符start_position：开始读取的位置（beginning 或 end）sincedb_path：记录读取位置的文件路径type：为事件添加类型标识tags：为事件添加标签高级配置input { file { path => ["/var/log/apache/*.log", "/var/log/nginx/*.log"] exclude => ["*.gz", "*.zip"] start_position => "beginning" sincedb_path => "/var/lib/logstash/sincedb" discover_interval => 15 stat_interval => 1 mode => "read" file_completed_action => "delete" file_completed_log_path => "/var/log/logstash/completed.log" }}2. Beats 输入插件Beats 插件用于接收来自 Beats（如 Filebeat、Metricbeat）的数据。基本配置input { beats { port => 5044 }}重要参数port：监听端口host：绑定地址ssl：启用 SSL/TLSclientinactivitytimeout：客户端不活动超时时间SSL 配置input { beats { port => 5044 ssl => true ssl_certificate => "/path/to/cert.pem" ssl_key => "/path/to/key.pem" ssl_certificate_authorities => ["/path/to/ca.pem"] ssl_verify_mode => "force_peer" }}3. Kafka 输入插件Kafka 插件用于从 Kafka 消息队列消费数据。基本配置input { kafka { bootstrap_servers => "localhost:9092" topics => ["logs"] group_id => "logstash-consumer" }}重要参数bootstrap_servers：Kafka 服务器地址topics：要消费的主题列表group_id：消费者组 IDconsumer_threads：消费者线程数decorate_events：添加 Kafka 元数据到事件高级配置input { kafka { bootstrap_servers => ["kafka1:9092", "kafka2:9092"] topics => ["app-logs", "system-logs"] group_id => "logstash-group" consumer_threads => 4 fetch_min_bytes => 1 fetch_max_wait_ms => 100 max_partition_fetch_bytes => 1048576 session_timeout_ms => 10000 auto_offset_reset => "latest" enable_auto_commit => false decorate_events => true codec => "json" }}4. HTTP 输入插件HTTP 插件通过 HTTP 接口接收数据。基本配置input { http { port => 8080 codec => "json" }}重要参数port：监听端口host：绑定地址codec：编解码器ssl：启用 SSL认证配置input { http { port => 8080 user => "admin" password => "secret" ssl => true ssl_certificate => "/path/to/cert.pem" ssl_key => "/path/to/key.pem" }}5. TCP/UDP 输入插件TCP/UDP 插件用于接收网络协议数据。TCP 配置input { tcp { port => 5000 codec => "json_lines" mode => "server" }}UDP 配置input { udp { port => 5001 codec => "json" workers => 2 }}6. Syslog 输入插件Syslog 插件用于接收系统日志。基本配置input { syslog { port => 514 type => "syslog" }}高级配置input { syslog { port => 514 host => "0.0.0.0" codec => "plain" use_rfc5424e => true grok_patterns => ["RSYSLOGBASE"] timezone => "UTC" }}7. JDBC 输入插件JDBC 插件用于从数据库读取数据。基本配置input { jdbc { jdbc_driver_library => "/path/to/mysql-connector.jar" jdbc_driver_class => "com.mysql.jdbc.Driver" jdbc_connection_string => "jdbc:mysql://localhost:3306/mydb" jdbc_user => "user" jdbc_password => "password" schedule => "* * * * *" statement => "SELECT * FROM logs WHERE created_at > :sql_last_value" }}重要参数jdbcdriverlibrary：JDBC 驱动程序路径jdbcdriverclass：JDBC 驱动类名jdbcconnectionstring：数据库连接字符串schedule：执行计划（cron 表达式）statement：SQL 查询语句usecolumnvalue：使用列值跟踪tracking_column：跟踪列名lastrunmetadata_path：元数据存储路径8. Redis 输入插件Redis 插件用于从 Redis 读取数据。基本配置input { redis { host => "localhost" port => 6379 data_type => "list" key => "logstash" }}数据类型list：列表类型channel：发布订阅频道pattern_channel：模式匹配频道多输入配置可以同时配置多个输入插件：input { file { path => "/var/log/app/*.log" type => "app-log" } beats { port => 5044 type => "beats-log" } kafka { bootstrap_servers => "localhost:9092" topics => ["system-logs"] type => "kafka-log" }}最佳实践合理使用 start_position：生产环境通常使用 "end"配置 sincedb_path：避免重启后重复读取使用类型和标签：便于后续过滤和处理启用 SSL：保护数据传输安全监控输入性能：使用指标监控输入插件的性能

Logstash 提供了多种过滤器插件，用于对数据进行解析、转换和丰富。以下是常用的过滤器及其使用方法。1. Grok 过滤器Grok 是最强大的过滤器，用于将非结构化数据解析为结构化数据。基本用法filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } }}多模式匹配filter { grok { match => { "message" => [ "%{COMBINEDAPACHELOG}", "%{COMMONAPACHELOG}", "%{NGINXACCESS}" ] } }}自定义模式filter { grok { patterns_dir => ["/path/to/patterns"] match => { "message" => "%{CUSTOM_PATTERN:custom_field}" } }}2. Mutate 过滤器Mutate 过滤器用于对字段进行各种操作。重命名字段filter { mutate { rename => { "old_name" => "new_name" } }}转换字段类型filter { mutate { convert => { "status" => "integer" "price" => "float" "enabled" => "boolean" } }}删除字段filter { mutate { remove_field => ["temp_field", "debug_info"] }}替换字段值filter { mutate { replace => { "message" => "new message" } }}添加字段filter { mutate { add_field => { "environment" => "production" "processed_at" => "%{@timestamp}" } }}合并字段filter { mutate { merge => { "field1" => "field2" } }}3. Date 过滤器Date 过滤器用于解析时间戳并转换为 Logstash 的 @timestamp 字段。基本用法filter { date { match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"] }}多种日期格式filter { date { match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z", "yyyy-MM-dd HH:mm:ss", "ISO8601" ] }}自定义目标字段filter { date { match => ["log_time", "yyyy-MM-dd HH:mm:ss"] target => "parsed_time" }}时区设置filter { date { match => ["timestamp", "yyyy-MM-dd HH:mm:ss"] timezone => "Asia/Shanghai" }}4. GeoIP 过滤器GeoIP 过滤器根据 IP 地址添加地理位置信息。基本用法filter { geoip { source => "client_ip" }}指定目标字段filter { geoip { source => "client_ip" target => "geoip" }}指定数据库路径filter { geoip { source => "client_ip" database => "/path/to/GeoLite2-City.mmdb" }}指定字段filter { geoip { source => "client_ip" fields => ["city_name", "country_name", "location"] }}5. Useragent 过滤器Useragent 过滤器解析 User-Agent 字符串。基本用法filter { useragent { source => "agent" }}指定目标字段filter { useragent { source => "agent" target => "ua" }}6. CSV 过滤器CSV 过滤器解析 CSV 格式的数据。基本用法filter { csv { separator => "," columns => ["name", "age", "city"] }}自动检测列名filter { csv { separator => "," autodetect_column_types => true }}7. JSON 过滤器JSON 过滤器解析 JSON 字符串。基本用法filter { json { source => "message" }}指定目标字段filter { json { source => "message" target => "parsed_json" }}保留原始字段filter { json { source => "message" remove_field => ["message"] }}8. Ruby 过滤器Ruby 过滤器允许使用 Ruby 代码进行复杂的数据处理。基本用法filter { ruby { code => 'event.set("computed_field", event.get("field1") + event.get("field2"))' }}复杂逻辑filter { ruby { code => ' if event.get("status").to_i >= 400 event.tag("error") else event.tag("success") end ' }}数组操作filter { ruby { code => ' items = event.get("items") if items.is_a?(Array) event.set("item_count", items.length) event.set("total_price", items.sum { |i| i["price"] }) end ' }}9. Drop 过滤器Drop 过滤器用于丢弃事件。条件丢弃filter { if [log_level] == "DEBUG" { drop { } }}百分比丢弃filter { ruby { code => 'event.cancel if rand < 0.1' }}10. Aggregate 过滤器Aggregate 过滤器用于聚合多个事件。基本用法filter { aggregate { task_id => "%{user_id}" code => ' map["count"] ||= 0 map["count"] += 1 ' push_map_as_event => true timeout => 60 }}过滤器组合多个过滤器可以组合使用：filter { # 解析日志格式 grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } # 转换字段类型 mutate { convert => { "response" => "integer" } } # 解析时间戳 date { match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"] } # 添加地理位置信息 geoip { source => "clientip" } # 解析 User-Agent useragent { source => "agent" }}最佳实践过滤器顺序：按逻辑顺序排列过滤器条件判断：使用条件语句避免不必要的处理性能优化：避免使用复杂的 Ruby 代码错误处理：处理解析失败的情况测试验证：使用 Grok Debugger 等工具测试过滤器

Logstash 提供了丰富的插件生态系统，可以通过插件扩展功能。以下是关于 Logstash 插件的相关内容。插件类型Logstash 插件主要分为三类：1. Input 插件负责从数据源读取数据。常用插件：file：从文件系统读取文件beats：接收来自 Beats 的数据kafka：从 Kafka 消费数据http：通过 HTTP 接口接收数据tcp/udp：接收 TCP/UDP 数据syslog：接收系统日志jdbc：从数据库读取数据redis：从 Redis 读取数据s3：从 AWS S3 读取数据elasticsearch：从 Elasticsearch 读取数据2. Filter 插件负责对数据进行处理和转换。常用插件：grok：解析非结构化数据mutate：字段操作（重命名、删除、转换等）date：解析时间戳geoip：添加地理位置信息useragent：解析 User-Agentjson：解析 JSON 数据csv：解析 CSV 数据ruby：使用 Ruby 代码处理数据aggregate：聚合多个事件drop：丢弃事件3. Output 插件负责将数据发送到目标系统。常用插件：elasticsearch：发送到 Elasticsearchfile：写入文件kafka：发送到 Kafkaredis：发送到 Redishttp：通过 HTTP 发送数据stdout：输出到标准输出email：发送邮件s3：发送到 AWS S3mongodb：发送到 MongoDB插件管理1. 查看已安装插件bin/logstash-plugin list2. 查看插件详细信息bin/logstash-plugin list --verbose3. 安装插件# 从官方仓库安装bin/logstash-plugin install logstash-output-s3# 指定版本安装bin/logstash-plugin install logstash-output-s3 --version 10.0.0# 从本地文件安装bin/logstash-plugin install /path/to/plugin.zip4. 更新插件# 更新所有插件bin/logstash-plugin update# 更新指定插件bin/logstash-plugin update logstash-output-s35. 卸载插件bin/logstash-plugin uninstall logstash-output-s36. 验证插件bin/logstash-plugin verify常用插件详解1. File Input 插件input { file { path => "/var/log/*.log" start_position => "beginning" sincedb_path => "/dev/null" type => "syslog" tags => ["system"] }}2. Grok Filter 插件filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } patterns_dir => ["/path/to/patterns"] overwrite => ["message"] }}3. Elasticsearch Output 插件output { elasticsearch { hosts => ["http://localhost:9200"] index => "logstash-%{+YYYY.MM.dd}" document_type => "_doc" flush_size => 500 idle_flush_time => 1 }}4. Kafka Output 插件output { kafka { bootstrap_servers => "localhost:9092" topic_id => "logs" codec => "json" compression_type => "snappy" }}自定义插件开发1. 插件类型选择根据需求选择开发 Input、Filter 或 Output 插件。2. 创建插件项目# 使用 Logstash 插件生成器gem install logstash-plugin-generatorlogstash-plugin generate --type input --name myinput3. 插件结构logstash-input-myinput/├── lib/│ └── logstash/│ └── inputs/│ └── myinput.rb├── spec/│ └── inputs/│ └── myinput_spec.rb├── Gemfile├── logstash-input-myinput.gemspec└── README.md4. 插件代码示例# lib/logstash/inputs/myinput.rbrequire "logstash/inputs/base"require "logstash/namespace"require "socket"class LogStash::Inputs::Myinput < LogStash::Inputs::Base config_name "myinput" config :host, :validate => :string, :default => "0.0.0.0" config :port, :validate => :number, :required => true def register @logger.info("Registering myinput", :host => @host, :port => @port) end def run(queue) @server = TCPServer.new(@host, @port) loop do client = @server.accept Thread.new do begin while line = client.gets event = LogStash::Event.new("message" => line) decorate(event) queue << event end rescue => e @logger.error("Error", :exception => e) ensure client.close end end end end def stop @server.close if @server endend5. 构建和安装插件# 构建 gem 包gem build logstash-input-myinput.gemspec# 安装插件bin/logstash-plugin install logstash-input-myinput-1.0.0.gem插件配置最佳实践1. 插件顺序按照数据处理流程合理排列插件顺序：Input → Filter → Output2. 条件判断使用条件语句避免不必要的插件处理：filter { if [type] == "apache" { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } }}3. 错误处理处理插件执行失败的情况：filter { grok { match => { "message" => "%{PATTERN:field}" } tag_on_failure => ["_grokparsefailure"] } if "_grokparsefailure" in [tags] { # 处理解析失败 }}4. 性能优化使用批量处理提高性能避免使用复杂的 Ruby 代码合理配置线程数和批量大小插件版本管理1. 查看插件版本bin/logstash-plugin list --verbose | grep logstash-output-s32. 锁定插件版本在 Gemfile 中指定插件版本：gem "logstash-output-s3", "~> 10.0"3. 版本兼容性确保插件版本与 Logstash 版本兼容。插件测试1. 单元测试# spec/inputs/myinput_spec.rbrequire "logstash/devutils/rspec/spec_helper"require "logstash/inputs/myinput"describe LogStash::Inputs::Myinput do it "should register" do input = LogStash::Inputs::Myinput.new("port" => 1234) expect { input.register }.not_to raise_error endend2. 集成测试使用测试数据验证插件功能。社区插件Logstash 社区提供了大量第三方插件，可以通过以下方式查找：Logstash 官方插件仓库GitHub 搜索Elastic 社区论坛最佳实践选择合适的插件：根据需求选择最适合的插件保持插件更新：定期更新插件以获得最新功能和修复测试插件：在生产环境使用前充分测试插件监控插件性能：监控插件的性能指标文档记录：记录自定义插件的使用方法和配置