logstash日志换行处理小解

已于 2023-08-10 09:47:51 修改
阅读量1.7k 收藏
点赞数 1
文章标签: logstash elasticsearch
于 2023-08-10 09:44:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a6652162/article/details/132202088
版权

logstash主用于日志实时数据收集、解析,并将数据转发的工具,内置的功能也相当强大。但,同时意味着,他可能接收到各种情况的数据。

此处,我们主要讲解我实际使用中,碰到的一个小问题,换行(\n)。

logstash的换行处理,可以有多种方式,比如如imultiline,可以将多行合并之类的,这种适合input 直接读取文件。

但有时,你接收到的消息内容,即某个字段的内容,本身已经是换行的内容,经过input的转换后,加上了转义符,换行变成\\n。

这里举例我实际碰到的环境:kafka+logstash+elasticsearch

kafka采集到的数据,已经是一条完整的数据,如:

2023/08/10 09:15:26 main.go:20 E! 测试多行日志记录
第二行日志,需要合并
第三行也要合并

logstash.conf配置如下:

input {
	kafka {
		bootstrap_servers => "kafka.test.com"
		topics => ["test"]
	}
}

filter {
	json {
		source => "message" #原mesage字段为json格式的字符串,转换成json数据
	}
	grok{
        match => ["message", "%{DATE:date} %{TIME:time} %{DATA:logclass}: %{DATA:loglevel}! %{GREEDYDATA:msg}"] 
    }
	mutate {
		add_field => {"logdate" => "%{date} %{time}"} # 新增字段,多字段字符串组合成新字段logdate
		remove_field => ["date","time"]
	}
}

output {
	elasticsearch {
		hosts => ["http://elasticsearch:9200"]
		index => "testlog"
	}
}

此时kibana上查看到的数据是在原本换行的地方变成\n。因为kafka在接到到换行的数据时会转成\n或\n\t。而logstash在接收到kafka的数据时,会当成字符串,自动加上转义符,要正常显示换行,需要把\\n 替换成\n。

 网上找了一堆相关资料,说的的方法是没错,但就是没有效果,如

filter {
 mutate {
          gsub => ["message","\\n",""] 
          # 显式的采用此种方法替换
}

因为logstash会把“\\n”当成是有转义符处理,即\n,也即实际的换行。所以“\\n”其实替换的是实际的换行,实际已经可以换行的数据,替换成空字符。

如果要es中显示的\n,变成实际换行显示,需要以下配置:

filter {
 mutate {
    gsub => ["message","\\\\n","\n"] 
    # 字符替换 ,将\\n 替换成 \n; "\\\\n"需要增加转义符。
          
}

最终es显示效果如下:

虚月
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
filebeat + kafka+logstash+elasticsearch中\n(换行)的替换【成功】
太阳花先生可爱多的专栏
07-31 2841
项目简介 公司业务需要将应用的日志(json格式)写入到es中,使用kafka做缓冲,logstash进行字段过滤 自己造的json格式: {"date":"2019-07-31 10:09:16.674","level":"INFO7","userCode":"3434343","clientIp":"192.168.200.57","clientId":"12","hostName":"192...
logstash合并有换行符的日志
nanjizhiyin的专栏
06-14 4092
出现error日志时,有时出现多行信息,如果不处理,logstash会当成多条日志看待.如果你的日志是以时间开关的,请添加如下配置codec => multiline { pattern => "^%{TIMESTAMP_ISO8601}" what => "previous" negate => true } file { ...
ELK解决日志换行问题
云深海阔专栏
03-22 3128
我们在部署elk完后,在kibana上发现很多ERROR日志换行情况,结果会在kibana上看到多行的error日志 我们常出现的ERROR日志如下 [INFO][2020-03-22 22:37:05,064][org.apache.commons.httpclient.HttpMethodDirector]Retrying request java.net.ConnectExceptio...
Logstash 处理json格式日志文件
weixin_42315182的博客
03-13 2522
处理nginx日志输出到docker容器日志 ex: {"log":"192.168.10.20 - - [19/Jun/2018:09:08:07 +0000] \"POST /backend/web/index.php?r=products/care/assessment/quick-assessment/assessment-info HTTP/1.1\" 200 60 \"-\" \...
Logstash日志多行合一行(日志错行)
珊瑚海的博客
05-09 8830
我们在用Logstash收集日志的时候会碰到日志会错行,这个时候我们需要把错的行归并到上一行,使某条数据完整;也防止因为错行导致其他字段的不正确。 在Logstash-filter插件中,multiline插件可以解决这个问题,举个例子如下: 假如我们的日志形式如下: 2016-04-05 13:39:52.534 1.28.253.193 20160311090433074f5b47c04
logstash gsub替换\n 回车。 实现在Kibana的真换行,而不是显示\n
DianWen119的博客
01-28 1414
网上那些 替换 \n 为这个那个的。就是做不出真的换行。太low 了。 input{ file { path => "/tmp/1.log" codec => multiline { pattern => "^#" negate => true what => "previous" } } } filter { mutate { gsub => [ "message", "\\n", "\n\r" ] } } output{ stdout { codec => ru
android studio logcat 换行日志换行)简单、有用日志
a_yue10的博客
11-30 4919
android studio logcat 换行日志换行) 不设置换行,接口请求到的数据显示太多了。而且json数据复制不了,很尴尬。 设置换行之后,显示内容少了很多。保留了有用信息并且过滤了无用信息。 方法就是选中上图中log日志工具栏里面的按钮 。 参考地址:https://www.cnblogs.com/shortboy/p/5706927.html ...
Logstash 读取tomcat错误日志
架构师的成长之路的博客
04-16 5798
Logstash 读取tomcat错误日志分布式实战(干货)spring cloud 实战(干货)mybatis 实战(干货)spring boot 实战(干货)React 入门实战(干货)构建中小型互联网企业架构(干货)python 学习持续更新ElasticSearch 笔记概述最近搭建了elk日志分析系统、想读取一下tomcat的错误日志、但是一个异常由于换行总是分多次存储展示、导致不是很清...
python实时监控logstash日志代码
09-16
Logstash 是一款强大的数据处理管道工具,常用于日志管理和分析。通过 Python 编写的监控脚本,我们可以实现高效、灵活的日志监控。 以下是对代码中关键部分的详细解释: 1. **配置文件管理**:脚本使用 `readconf...
Logstash日志管理系统-其他
06-13
Logstash是一个应用程序日志、事件的传输、处理、管理和搜索的平台。你可以用它来统一对应用程序日志进行收集管理,提供Web接口用于查询和统计。 Logstash现在是ElasticSearch家族成员之一。 开发环境: 1、安装JDK...
Logstash日志数据采集与ELK可视化分析实战
02-21
基于Logstash日志数据采集和ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),具体内容包括: 01 Logstash的架构及运行流程 02 Logstash的数据采集案例(一) 03 Logstash的数据采集案例(二) 04...
logstash日志抓取搭建
04-26
NULL 博文链接:https://solomon2012.iteye.com/blog/2361117
Logstash学习9_Logstash去除一些字段里面的换行符(\r)
wang_zhenwei的博客
02-13 8657
使用mutate+gsub来去除一些字段里面的换行符  Java代码   mutate {      gsub => [ "message", "\r", "" ]    }   原文来自:http://blog.csdn.net/u010454030/article/details/49680531
logstash grok解析
热门推荐
幸福在路上
01-24 1万+
在《本地搭建ELK系统》中,在本地搭建了一个非常简单的ELK系统。其中logstash从本地日志文件中读取信息并交给elasticsearch。然而直接把原始未加工的日志交给elasticsearch没有什么意义。logstash还有一个重要的工作就是解析日志。把解析出来的关键字与日志本身共同交给elasticsearchelasticsearch才能很好地建立日志索引。logstash支持多种解
解决ELK日志收集中Logstash报错的关键步
weixin_48278764的博客
01-13 962
解决ELK日志收集中Logstash报错的关键步
logstash 中multiline合并数据为一条
QYHuiiQ
11-10 2094
在用logstash处理csv文件时,文件中有一行数据中有一个单元格内的数据是换行的,这样Logstash读取的时候会变成两行,也就是把原来完整的一行因为有值是换行的,所以就拆分成两条了,这种情况下我们需要将两条合并为一条。 我所处理的文件中正常是每一行都是以数字id作为开头的,另外第一行数据是以逗号开头的,所以目前的处理方法是认为数字和逗号开头的换行是正常换行,其他的换行属于需要合并的。这时就...
logstash 切分日志
有道无术,术尚可求,有术无道,止于术。
11-07 1740
日志格式可以大致分为两部分,基本的头信息和json格式的数据,中间以‘|’进行了分割。 2018-08-30 10:41:42,661 ERROR [http-apr-8080-exec-7] [com.intime.soa.framework.auth.AbstractAuthInterceptor 118] - Request <> GET_/favicon.ico | { ...
ELK详解(十二)——多行日志收集
永远是少年
04-07 1283
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash的多行日志收集。 一、Logstash日志收集新问题 二、Logstash配置详解 三、效果展示
Elasticsearch中的Term_Filter过滤器技术
最新发布
屿小夏.的知识博客
06-21 5040
Term Filter作为Elasticsearch中的一项强大功能,为精确匹配和快速过滤文档提供了高效手段。通过深入了解其工作原理、探索多样化的使用场景并遵循最佳实践建议,我们可以充分利用Term Filter来优化搜索应用并提升用户体验。
Springboot Logstash 日志格式自定义
05-30
要自定义 Spring Boot 应用程序的日志格式并将其发送到 Logstash,可以按照以下步骤操作: 1. 在 Spring Boot 应用程序的 `application.properties` 或 `application.yml` 文件中添加以下配置: ```properties logging.pattern.console=%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n logging.pattern.file=%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n ``` 在这里,我们使用了 `%d` 来记录日期和时间,`%thread` 记录线程名,`%-5level` 记录日志级别,`%logger{36}` 记录 Logger 名称(最多 36 个字符),`%msg` 记录日志消息,`%n` 记录换行符。 2. 在 `pom.xml` 文件中添加以下依赖项: ```xml <dependency> <groupId>net.logstash.logback</groupId> <artifactId>logstash-logback-encoder</artifactId> <version>6.6</version> </dependency> ``` 这个依赖项包含了 Logback 的 LogstashEncoder,它可以将日志格式化为 Logstash 支持的 JSON 格式。 3. 在 `logback-spring.xml` 文件中添加以下配置: ```xml <configuration> <appender name="console" class="ch.qos.logback.core.ConsoleAppender"> <encoder class="net.logstash.logback.encoder.LogstashEncoder" /> </appender> <appender name="file" class="ch.qos.logback.core.rolling.RollingFileAppender"> <file>${LOG_PATH}</file> <encoder class="net.logstash.logback.encoder.LogstashEncoder" /> <rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy"> <fileNamePattern>${LOG_PATH}.%d{yyyy-MM-dd}.gz</fileNamePattern> </rollingPolicy> </appender> <root level="INFO"> <appender-ref ref="console" /> <appender-ref ref="file" /> </root> </configuration> ``` 这个配置使用 LogstashEncoder 作为编码器,将日志格式化为 Logstash 支持的 JSON 格式。我们还配置了一个文件附加程序,将日志写入文件,并使用时间轮换策略对日志进行滚动。 4. 重新启动应用程序并检查日志输出,确保它们符合您的预期格式,并且可以正确地传输到 Logstash

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值