（1）在该样例中，通过 Logstash 采集服务器中应用程序运行期间产生的日志信息，特别是异常日志信息，采集到之后将其存储到 Elasticsearch（简称 ES）中，对外提供异常日志检索服务。

• Input 使用 file 插件，采集指定日志文件中的新增日志数据；
• Filter 使用 drop 件，过滤掉 DEBUG 和 INFO 级别的日志数据；
• Output 使用 elasticsearch 插件，将采集到的数据保存到 ES 中

注意：

• 应用程序在运行时会产生一些异常日志信息，每一条异常日志信息都会有多行。如果使用传统的采集思路一行行地采集，那么后期是无法查看某一条异常日志的详细堆栈信息的。
• Input 组件中的 Codec 支持多种数据格式，其中有一个 multiline 格式可以解决这个问题，它可以根据一定的规则把多行日志信息保存到一行中。

（1）首先进入 Logstash 目录，执行如下命令创建一个配置文件：

vi file-drop-es.conf

（2）配置文件的内容如下：

input{
  file{
    path=>"/home/log/hangge.log"
    start_position=>"beginning"
    codec=>multiline{
      pattern=>"^%{TIMESTAMP_ISO8601}"
      negate=>true
      what => "previous"
    }
  }
}

filter{
  if [message] =~ "DEBUG" {
    drop{}
  } else if [message] =~ "INFO" {
    drop{}
  }
}

output{
  elasticsearch{
    hosts=>["192.168.60.9:9200"]
    index=>"hangge"
  }
}

3，启动测试

（1）首先我们执行如下命令启动 Logstash 采集任务：

bin/logstash -f file-drop-es.conf

（2）接着我们编辑 /home/log/hangge.log 日志文件，往里面写入如下数据并保存：

2023-11-24 12:15:54,985 [main] [com.hangge.LogPruducer] [DEBUG] - 初始化链接成功！
2023-11-24 12:15:55,985 [main] [com.hangge.LogPruducer] [INFO] - 开始执行计算操作！
2023-11-24 12:15:56,985 [main] [com.hangge.LogPruducer] [ERROR] - 除零异常。
java.lang.ArithmeticException: / by zero
at com.hangge.LogPruducer.main(LogPruducer.java:12)
2023-11-24 12:15:57,988 [main] [com.hangge.LogPruducer] [ERROR] - 计算执行失败！
2023-11-24 12:15:58,985 [main] [com.hangge.LogPruducer] [DEBUG] - 释放链接！

（3）最后，我们到 Elasticsearch 中确认是否有数据，以及数据的格式是否正确。在浏览器中访问“http://192.168.60.9:9200/_search?pretty”即可查询目前 Elasticsearch 中的所有数据。