logstash配置文件多输入和多输出

reset报文

2017-08-08T10:49:11+08:00 INFO Error publishing events (retrying): write tcp 192.168.5.201:51347->192.168.5.201:5043: write: connection reset by peer

1，客户端尝试与服务器未对外提供服务的端口建立TCP连接，服务器将会直接向客户端发送reset报文。
2，客户端和服务器的某一方在交互的过程中发生异常（如程序崩溃等），该方系统将向对端发送TCP reset报文，告之对方释放相关的TCP连接
3，接收端收到TCP报文，但是发现该TCP的报文，并不在其已建立的TCP连接列表内，则其直接向对端发送reset报文
4，在交互的双方中的某一方长期未收到来自对方的确认报文，则其在超出一定的重传次数或时间后，会主动向对端发送reset报文释放该TCP连接
5，有些应用开发者在设计应用系统时，会利用reset报文快速释放已经完成数据交互的TCP连接，以提高业务交互的效率

2017-08-08T10:49:12+08:00 ERR Connecting error publishing events (retrying): dial tcp 192.168.5.201:5043: getsockopt: connection refused
logstash服务down掉

logstash针对多个beat的输入和不同形式输出的设置

网上说可以用设置type来标识，结果没有输出，原因：
Beat已经设置了type字段，所以自行设置的type将会被忽略

The Beats shipper automatically sets the type field on the event. You cannot override this setting in the Logstash config. If you specify a setting for the type config option in Logstash, it is ignored.

解决:
通过add_field解决
beats {
add_field => {“myid”=>”nginx”}
port => 5043
}

例子：

input {       beats {        add_field => {"myid"=>"nginx"}        port => 5043    }    beats {         add_field => {"myid"=>"java"}         port =>5044    }}filter {    if [myid] == "nginx" {       grok {                  }     }    if [myid] == "java" {        grok {                 }   }}output{     if [myid] == "nginx" {       elasticsearch {        }     }    if [myid] == "java" {        elasticsearch {        }    }}

脚本启动logstash后自动退出的问题
* * * * * sh /data/to8to/tools/es/logstash.sh >> /tmp/cron_log 2>&1
调试错误：
watch cat /tmp/cron_log
得到:
lsof 命令找不到。。。
修改解决脚本解决