1.输入插件

1.1 文件输入

    file {
        path => "/var/log/*.log","/var/log/message"]
        type =>"system"
        start_position =>"beginning"
    }
}

1.2 TCP 输入

2.解编码配置

2.1 JSON 解编码

作用：降低Logstash过滤器的CPU负载消耗
实现：直接输入预定义好的json数据，省略掉fiter/grok配置，即自定义程序输出日志的格式

2.2 多行时间编码

作用：针对多行内容日志，比如Linux内核日志
实现：codec/multiline插件，吧当前的数据添加到前面一行后面，直到新进的当前行匹配^[正则为止。还可以用grok表达式

2.3 网络流编码

作用：提供网络流量会话级视图，记录下每个TCP/IP事务的信息，汇集形成易于管理和易读的流向和容量的分析监控

2.4 collectd 输入

3.过滤器配置

3.1 date时间处理