logstash中multilline插件读取静态文件丢失最后一条数据

已于 2022-05-26 15:12:39 修改
阅读量988 收藏 1
点赞数 1
分类专栏: elk 文章标签: logstash multiline
于 2019-11-10 14:46:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYHuiiQ/article/details/102997384
版权

在使用multiline插件时发现总是读不到最后一条数据,且在停掉logstash时这条数据才会读出来。翻了帖子后发现应该添加auto_flush_interval => 1属性才行。

input {
    file {
       path => ......
       start_position => ......
       sincedb_path => ....
       //合并插件用法
       codec => multiline {
         pattern => "^[0-9,]"   //正则匹配,我这里匹配的是以0-9数字开头和逗号开头,  ^表示以。。。开头
         negate => true    //negate:否定,否认,使无效,这里设置为true,就说明是对上面匹配没有成功
         what => "previous"    //表示当上述正则没有匹配成功时将当前数据与上一条数据进行合并,这个值可以是previous和next,根据需要自己设置
         auto_flush_interval => 1//这个属性的含义是超过多少秒没有新数据来就会把当前行作为一行数据处理,不再等后面的数据了,这个1就是1秒,可以自己设置
       }
    }
 
}


===========================================
如果pattern里面想匹配的是多个指定的字符串,就用|隔开:
codec => multiline {
         pattern => "hangzhou|shanghai"     //这样就可以匹配到hangzhou或者shanghai
         negate => true    
         what => "previous"    
         auto_flush_interval => 1
       }

在解决的过程中也有考虑,为什么这么重要的属性,官网没有显式地把它指出来作为一个必填属性呢,猜测可能是因为在实际应用中大多数是使用实时流处理的,就是说这个文件内容一直在追加,所以官网就没有明确指出这个属性,而我们在这里使用的是静态文件,只能自己去设置告诉他文件读完了,不用再等下一条数据了。

QYHuiiQ
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
logstash codec => multiline 只有下一个匹配出现,才会输出上一个
zhaoyangjian724的专栏
12-03 587
input { stdin { codec => multiline { pattern => "^\[" negate => true what => "previous" } } } output { stdout { codec=>rubydebug{} } } [elk@node2 conf]$ logstash -f logs...
filebeat - logstash 多行合并 解决数据丢失以及无法读取最后一行
AbnerSunYH的博客
11-15 1万+
filebeat - logstash 多行合并 解决数据丢失以及无法读取最后一行,使用logstash-filter-multiline 最后一行日志会等待1s时间,如果日志没有新的数据,则发送最后一行日志数据
logstash巨坑:文本末尾有回车符时,logstash读取文本
snowtree_ok的专栏
09-21 1192
最近在做ELK项目,logstash从文本读取日志到Elasticsearch,然后在Kibana显示出来。 一切正常,无任何error或warning,logstash就是没有任何反应,elastic也静悄悄。反复查,未果。无聊至极,把日志文本打开,逐行看,看到末尾顺手把最后一行的回车符去掉,保存。却惊奇地发现,logstash的console开始运行,一行行输出解析的日志…… 也就是说,...
UTL_FILE写入文件文件用记事本打开不换行的问题
qq_37613533的博客
08-15 2187
承接之前的一篇 之前将一行数据写完然后用UTL_FILE.NEW_LINE(l_output);换行结束 但是发现一个问题,生成的文件用记事本打开不会自动换行,像这样 但是用notepad打开会自动换行,因为windows记事本的换行是\r\n,而其他一般是\n。有一种手工的方法就是用notepad打开然后将所有\n替换成\r\n。 不想手工改的话,最后解决方法如下: UTL_F...
探秘《失落的方舟》实时伤害计量神器:Loa-Detaiils
最新发布
gitblog_00043的博客
06-18 341
探秘《失落的方舟》实时伤害计量神器:Loa-Detaiils 项目地址:https://gitcode.com/lost-ark-dev/loa-details 在追求极致游戏体验的道路上,《失落的方舟》玩家总是在寻找那些能提升游戏策略和团队协作的工具。今天,我们要向大家隆重介绍一个开源宝藏——Loa-Detaiils,一款专为《失落的方舟》量身打造的实时伤害计量工具。 项目介绍 Loa-Deta...
logstash-input-proc:一个Logstash插件读取Linux内核proc挂载
05-10
Logstash ,输入插件数据采集的第一步,而 `logstash-input-proc` 正是一个这样的输入插件,专门设计用来读取 Linux 内核的 proc 挂载点。 /Linux/proc/ 是一个虚拟文件系统,它提供了一个接口,让用户空间...
logstash-filter-varnishlog:一个logstash过滤器插件读取按ID分组的varnishlog
02-10
Logstash插件 这是的插件。 它是完全免费和完全开源的。 该许可证是Apache 2.0,这意味着您可以随意使用它,但是可以以任何方式使用。 文献资料 Logstash提供了自动为该插件生成文档的基础结构。 我们使用asciidoc...
logstash-input-rest:从 json 的rest api读取logstash的输入插件
05-31
Logstash 休息输入插件 这是的插件。 它允许您调用 rest API(当前生成 JSON)并在 logstash 事件发送生成的 JSON。 这个插件背后的想法来自需要读取 springboot 指标端点,而不是配置 jmx 来监控我的 java 应用...
logstash-input-pcap:使用 libpcap 支持读取数据logstash 输入
06-04
Logstash 插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用 asciidoc 格式编写文档,...
logstash采集数据数据插件
10-19
Logstash 的工作流程,输入插件负责从源头获取数据间可以添加过滤插件(filter)对数据进行清洗、转换,最后通过输出插件(output)将处理好的数据发送到目标系统。 在实际应用,"logstash-input-jdbc" ...
fluent-plugin-multiline-extended:Fluentd的扩展多行输入插件
05-13
扩展多行插件 这些插件扩展了内置的多行尾部解析,以允许事件边界超出使用“ format_firstline”参数的单行正则表达式匹配。 特别是, 可以在事件开始或结束时使用正则表达式匹配来进行边界检测,并且 边界检测正则表达式跨越多条线。 概述 插件提供了和子类,以扩展事件边界检测功能。 创建此扩展的原始用例是试图以连贯的方式处理RabbitMQ日志,因为它们需要多行正则表达式才能正确一致地确定日志事件边界(至少在正常操作期间不会引发错误),因为需要两行信息。 此后,其他已使用的应用程序出现在需要此功能的地方(例如,并非总是以换行符终止条目的日志)。 RabbitMQ“信息报告”消息通常看起来像这样。 =INFO REPORT==== 1-Nov-2016::23:25:39 === FHC read buffering: OFF FHC write buffering: ON 请
(实战)docker-compose部署分布式日志方案EFK(Elasticsearch+Fluentd+Kibana)
不积跬步无以至千里
10-21 1160
采集SpringCloud的Logback日志为例,使用Docker容器化技术快速部署EFK实现分布式日志管理。项目地址:https://github.com/huangyang1230/springboot_efk.git
logstash处理多行日志-处理java堆栈日志
huan的学习记录
05-11 2545
logstash处理多行日志-处理java堆栈日志一、背景二、需求三、实现思路1、分析日志2、实现,编写pipeline文件四、注意事项五、参考文档 一、背景 在我们的java程序,经常会输出一些日志,来帮助我们来分析一些问题。但是对于我们的异常来说,它可能存在多行,因此我们就需要处理这种多行的事件。在 logstash ,我们可以借助 multiline codec 来处理。 二、需求 假设我们有如下数据。 129904 [2021-05-11 13:31:19] [ip=] INFO o.s.c.
fluentd 安装、配置、使用介绍
Baron_ND的博客
10-22 3942
fluentd 安装、配置、使用介绍 March 20, 2019inefk,fluentd fluentd2是一个针对日志的收集、处理、转发系统。通过丰富的插件系统, 可以收集来自于各种系统或应用的日志,转化为用户指定的格式后,转发到用户所指定的日志存储系统之。 本文由简悦 SimpRead转码, 原文地址https://blog.laisky.com/p/fluentd/ fluentd 安装、配置、使用介绍 fluentd v1.0 updated at 2016/1...
Fluentd (td-agent) 日志收集系统
热门推荐
VirusFu的专栏
06-04 2万+
Fluentd是一个日志收集系统,它的特点在于其各部分均是可定制化的,你可以通过简单的配置,将日志收集到不同的地方。 目前开源社区已经贡献了下面一些存储插件:MongoDB, Redis, CouchDB,AmazonS3, Amazon SQS, Scribe, 0MQ, AMQP, Delayed, Growl等等。 安装 可参考http://docs.fluentd.org
Fluentd 配置
Fabio的博客
09-19 2612
[GitHub] https://github.com/fluent/fluentd [Doc] http://docs.fluentd.org/articles/config-file [Example] https://github.com/fluent/fluentd/tree/master/example 默认配置文件:/etc/td-agent/td-agent.conf Fluen...
Fluentd-ElasticSearch配置两三(糗)事
jj_tyro的专栏
03-19 1万+
上周末在家闲来无事,于是乎动手帮项目组搭建日志收集的EFK环境,最终目标的部署是这个样子的: 在每个应用机器上部一个Fluentd做为代理端,以tail方式读取指定的应用日志文件,然后Forward到做为汇聚端的Fluentd,汇聚端对日志内容加工、分解成结构化内容,再存储到ElasticSearch。日志内容的展现由Kinana实现。 Fluentd是什么? Fluentd是一个完全免费...
在Kubernetes上搭建新版fluentd-elasticsearch_1.22日志收集工具
ximenghappy的专栏
03-29 1万+
背景介绍第一,对于企业来说,日志的重要性不言而喻,就不赘述了。第二,日志收集分析展示平台的选择,这里给出几点选择ELK的理由。ELK是一套非常成熟的系统,她本身的构架非常适合Kubernetes集群,这里官网当也是选用的 Elasticsearch作为Sample的,GitHub上下载的kubernetes二进制包本身就有这个.yaml文件,所以使用ELK作为收集日志的理由相当充分。 对于任何
logstash 如何在filter获取数据文件行号
04-26
Logstash的filter,可以使用Ruby的File类来获取数据文件的行号。具体实现可以参考以下代码: ``` filter { ruby { code => ' line_number = 0 File.foreach("/path/to/your/data_file") do |line| line_number += 1 # 在这里对每一行数据进行处理 end ' } } ``` 在上述代码,我们使用了File.foreach方法来逐行读取数据文件。同时,使用一个变量line_number来记录当前行号,方便后续对每一行数据进行处理。您可以在code块编写任何自定义的Ruby代码来处理数据

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYHuiiQ

听说打赏的人工资翻倍~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值