ELK之logstath的使用(2)----多行日志input插件的使用

最新推荐文章于 2022-09-15 07:59:54 发布
最新推荐文章于 2022-09-15 07:59:54 发布
阅读量1.2k 收藏
点赞数
分类专栏: elk logstath 文章标签: logstath elk multiline
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/O0mm0O/article/details/76578305
版权

在实际使用中会使用logstath来采集日志文件,基础的采集是按单行来进行的每一行都是一个event,而在实际工作中经常会出现一个日志event分布在多行中,比如java的错误堆栈,必须将多行日志联合起来进行分析。

下面先介绍下我在工作中遇到的情形:

2017-08-02 10:42:21,176 INFO smg.message.cdnws||||cd /data/Video && rsync -avrtuz -R ./2017/08/02/5901193475b440cf2ed0a2ec26116cdb.mp4.m3u8 chinacache@rsync4.upload.wscdns.com::chinacache_video --password-file=/etc/rsync_ws.passwd||||{"command":"[/usr/local/microservice/rsyncCommand.sh, cd /data/Video, rsync -avrtuz -R ./2017/08/02/5901193475b440cf2ed0a2ec26116cdb.mp4.m3u8 chinacache@rsync4.upload.wscdns.com::chinacache_video --password-file=/etc/rsync_ws.passwd]", "errorMessage":"null", "infoMessage":"
sending incremental file list
2017/08/02/5901193475b440cf2ed0a2ec26116cdb.mp4.m3u8

sent 279 bytes  received 30 bytes  88.29 bytes/sec
total size is 108  speedup is 0.35
", "exitValue":"0", "startTime":"1501641738840", "endTime":"1501641741176"}

这个多行日志是需要采集的目标。结构应该是 时间 + 日志级别 + 具体内容。

下面先介绍用到的插件:

input file 及codec multiline 插件
使用这两个插件可以坐到从日志文件中读取多行日志进行匹配,比如java的报错堆栈会解析成一个结构。
file插件官网地址
codec multiline插件官网地址

首先先使用input file插件将日志读进来。

./bin/logstash  -e '
input{
    file{
        path=>"/home/testfiles/command_service_amq.log"   //日志文件地址
        start_position=>"beginning"               //在第一次读文件时是否从第一行进行读取  默认为end
    }
}  

output{stdout{}}'

这样读进来的日志会按照单行进行采集,效果非常不好,所以开始使用multiline插件。

通过分析发现多行的匹配规则为只要不是以时间为开头的日志都归为上一行。so!!!这么写:

./bin/logstash  -e '
input{
    file{
        path=>"/home/testfiles/command_service_amq.log"   //日志文件地址
        start_position=>"beginning"               //在第一次读文件时是否从第一行进行读取  默认为end
        codec => multiline { 
            pattern => "^%{TIMESTAMP_ISO8601:timestamp}"   //正则匹配,以iso8601时间为开始  
            negate => true          //如果没匹配则取消正则,没理解,反正true跟false都试试
            what => "previous"      //和上一行组成同一event
        }
    }
}  

output{stdout{}}'

pattern中使用grok正则进行匹配。
参考地址在这。

现在会发现多行会变成一个event输出了,但是其中会出现冗余信息,比如logstath会在event中添加时间信息。

下一节讲讲如何进行filter过滤,有问题之处烦请在留言中指出,非常感谢。

李德胜_Leedesen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
日志系统ELK使用详解(二)--Logstash安装和使用
BuquTianya的专栏
05-14 1万+
概述在开始之前先说一下Logstash使用和熟悉路线图。接触ELK的时候不能图快,可以尝试着一部分一部分的安装起来熟悉,之后再逐个组装到一起,看效果。
ELK-日志服务【logstash-安装与使用
最新发布
L596462013的博客
07-12 1620
【代码】ELK-日志服务【logstash-安装与使用
使用 ELK 收集日志
码农UP2U
09-15 4178
在这种情况下,ELK 为我们提供了统一的日志管理解决方案,它能很好的支持 Logback 等日志框架,使得我们可以集中的管理不同应用输出的日志信息。创建完成后,返回 Kibana 的首页,选择 Discover 选项,切换到我们新建的 logstash-* 选项下,然后选择时间段,就可以看到相应的日志信息了。在上图中应用日志框架直接将日志发送给 Logstash,然后 Logstash 将接收的日志写入 ElasticSearch 中,开发人员通过可视化的 Kibana 可以进行日志的查询和分析。
ELK(六):Logstash——input/file使用详解
Hurpe
05-06 6171
最简单的配置文件 其他参数介绍 1、path 2、exclude 3、start_position 4、sincedb_path 5、关于扫描和检测的时间 6、add_field 7、tags 8、delimiter 处理的都是日志,在之前的文章ELK(四):Logstash的安装及使用介绍过溢写基础,本篇继续深入,主要讲解的就是input下的file的参数。 最简...
[logstash-input-file]插件使用详解
weixin_33935505的博客
09-13 296
  前篇介绍过Logstash使用,本篇继续深入,介绍下最常用的input插件——file。   这个插件可以从指定的目录或者文件读取内容,输入到管道处理,也算是logstash的核心插件了,大多数的使用场景都会用到这个插件,因此这里详细讲述下各个参数的含义与使用。 最小化的配置文件   在Logstash中可以在 input{} 里面添加file配置,默认的最小化配置如下: ...
Logstash——multiline 插件,匹配多行日志
热门推荐
我的地盘
09-22 2万+
Logstash——multiline 插件,匹配多行日志
logstash input-file 插件使用详解
wjacketcn的专栏
03-23 7971
转自:http://www.cnblogs.com/xing901022/p/4805586.html 最小化的配置文件   在Logstash中可以在 input{} 里面添加file配置,默认的最小化配置如下: input { file { path => "E:/software/logstash-1.5.4/logstash-1
ELK-快速入门使用
03-03
ELK通常用来构建日志分析平台、数据分析搜索平台等Elasticsearch是个开源分布式全文检索和数据分析平台。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,负载均衡等特点。...
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统
11-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-03-kibana索引模式创建与.mp4
logstash 处理多行
weixin_30813225的博客
08-25 381
2.2.2 多行事件编码: zjtest7-frontend:/usr/local/logstash-2.3.4/bin# ./plugin list | grep multi Ignoring ffi-1.9.13 because its extensions are not built. Try: gem pristine ffi --version 1.9.13 logstash-...
filebeat - logstash 多行合并 解决数据丢失以及无法读取最后一行
AbnerSunYH的博客
11-15 1万+
filebeat - logstash 多行合并 解决数据丢失以及无法读取最后一行,使用logstash-filter-multiline 最后一行日志会等待1s时间,如果日志没有新的数据,则发送最后一行日志数据
ELK详解(十二)——多行日志收集
永远是少年
04-07 1316
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash多行日志收集。 一、Logstash日志收集新问题 二、Logstash配置详解 三、效果展示
logstash处理多行日志-处理java堆栈日志
huan的学习记录
05-11 2582
logstash处理多行日志-处理java堆栈日志一、背景二、需求三、实现思路1、分析日志2、实现,编写pipeline文件四、注意事项五、参考文档 一、背景 在我们的java程序中,经常会输出一些日志,来帮助我们来分析一些问题。但是对于我们的异常来说,它可能存在多行,因此我们就需要处理这种多行的事件。在 logstash 中,我们可以借助 multiline codec 来处理。 二、需求 假设我们有如下数据。 129904 [2021-05-11 13:31:19] [ip=] INFO o.s.c.
ELKlogstath的使用(1)----介绍
O0mm0O的博客
08-02 1954
logstath的介绍
难倒太多小白啦,这种input多条件查询数据!!
weixin_44540309的博客
06-18 1460
在你们使用浏览器搜索东西的时候是不是很便捷,快捷又方便。那有思考过这个是怎么实现的呢 其实这是一个模糊查询。那么我就以例子来简单介绍一下。 我使用的是Visual Studio 2015 工具 打开Visual Studio 2015 我们肯定要搭建一个HTML页面内容大概是两个input 标签 以及一个table 标签(用来渲染表格 加载数据),一个按钮: 接着就是到控制中写查询数据的方法,...
Logstash详解之——input模块
weixin_34256074的博客
07-31 1369
Logstash由三个组件构造成,分别是input、filter以及output。我们可以吧Logstash三个组件的工作流理解为:input收集数据,filter处理数据,output输出数据。至于怎么收集、去哪收集、怎么处理、处理什么、怎么发生以及发送到哪等等一些列的问题就是我们接下啦要讨论的一个重点。 我们今天先讨论input组件的功能和基本插件。...
logstash数据处理示例
weixin_33955681的博客
09-12 364
#test {"time":1504752032399,"date":"2017-09-08 12:00:00","str":"ddse\r\n} input { stdin { codec => json } } filter { mutate { add_field => { "field1" =&amp
elasticsearch进行日志信息的采集(按照指定格式)
柠檬精哒博客
08-25 8370
filter表示过滤 终端输入 终端输出stdin rubydebug 改变输出格式 第一类:储存信息到指定文件 [root@server1 tmp]# cd /etc/logstash/conf.d/ [root@server1 conf.d]# vim message.conf input { stdin {} } output { el...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值