ELK日志分析系统(本地分析)

最新推荐文章于 2023-11-24 11:23:28 发布
最新推荐文章于 2023-11-24 11:23:28 发布
阅读量436 收藏 1
点赞数
分类专栏: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenjianhuideyueding/article/details/81206813
版权

前段时间,老大叫我在新闻服务上,查看下redis的read time out的异常,我用linux命令查,感觉有点麻烦,所以就自己搭了一个elk的日志收集系统。注意这里只能在本地分析日志文件,如果日志文件在别的主机上,在下一章会进行讲述。

我采用了很笨的方法,我把要分析的日志拷贝到本地主机上,然后在本地虚拟机上创建了一个elk系统。

这里先给出我要分析的日志格式,不过我只要error的日志,其他级别的不分析:
 

2018-07-16 13:00:08.026  WARN [newsservice,bf045afa588eb7f9,f7ac1088fb74eab3,false] 17864 --- [ XNIO-5 task-12] c.i.n.controller.v3.UniteNewsController  : uniteChannelNews V1 cost time is 4466 ms! The request URL is http://172.18.0.2:8182/v3/uniteChannelNews:installChannel=qita&ac=1&cCode=4504&oldestTime=0&romVersion=Meizu&snapshotNumber=0&latitude=23.474561&channelType=0&language=zh&devicePlatform=android&pageNum=1&md5Hash=6b5eca59c0c0376cc0468e6c57e4ff8f&osVersion=6.0.1&pCode=45&aCode=450403&refreshType=0&deviceModel=M3X&deviceBrand=Meizu&channelId=612&longitude=111.301625
2018-07-16 13:00:08.222  INFO [newsservice,,,] 17864 --- [cTaskExecutor-1] c.i.n.s.rabbitmq.NewsRabbitMQReceiver    : received news update message: {"action":"publish","targetType":"news","id":9042825}
2018-07-16 13:00:11.620  WARN [newsservice,f98adb8057c64034,9513bd6c84a454d8,false] 17864 --- [ XNIO-5 task-84] c.i.n.controller.v3.UniteNewsController  : [checkpoint] checkpoint1 , cost time: 887
2018-07-16 13:00:11.656 ERROR [newsservice,,,] 17864 --- [cTaskExecutor-1] c.i.n.s.rabbitmq.NewsRabbitMQReceiver    : Deal with news to redis error sid: 9042825

org.springframework.data.redis.RedisConnectionFailureException: java.net.SocketTimeoutException: Read timed out; nested exception is redis.clients.jedis.exceptions.JedisConnectionException: java.net.SocketTimeoutException: Read timed out
	at org.springframework.data.redis.connection.jedis.JedisExceptionConverter.convert(JedisExceptionConverter.java:67)
	at org.springframework.data.redis.connection.jedis.JedisExceptionConverter.convert(JedisExceptionConverter.java:41)
	at org.springframework.data.redis.PassThroughExceptionTranslationStrategy.translate(PassThroughExceptionTranslationStrategy.java:37)
	at org.springframework.data.redis.FallbackExceptionTranslationStrategy.translate(FallbackExceptionTranslationStrategy.java:37)
	at org.springframework.data.redis.connection.jedis.JedisConnection.convertJedisAccessException(JedisConnection.java:212)
	at org.springframework.data.redis.connection.jedis.JedisConnection.sAdd(JedisConnection.java:1874)
	at org.springframework.data.redis.connection.DefaultStringRedisConnection.sAdd(DefaultStringRedisConnection.java:692)
	at org.springframework.data.redis.core.DefaultSetOperations$1.doInRedis(DefaultSetOperations.java:46)
	at org.springframework.data.redis.core.DefaultSetOperations$1.doInRedis(DefaultSetOperations.java:43)
	at org.springframework.data.redis.core.RedisTemplate.execute(RedisTemplate.java:202)
	at org.springframework.data.redis.core.RedisTemplate.execute(RedisTemplate.java:164)
	at org.springframework.data.redis.core.AbstractOperations.execute(AbstractOperations.java:88)
	at org.springframework.data.redis.core.DefaultSetOperations.add(DefaultSetOperations.java:43)
	at cn.itouchtv.news.service.impl.MediaCacheImp.beautifyMediaInfoIntoSetter(MediaCacheImp.java:676)
	at cn.itouchtv.news.service.rabbitmq.NewsRabbitMQReceiver.receive(NewsRabbitMQReceiver.java:119)
	at cn.itouchtv.news.service.rabbitmq.NewsRabbitMQReceiver$$FastClassBySpringCGLIB$$bf59a8ef.invoke(<generated>)
	at org.springframework.cglib.proxy.MethodProxy.invoke(MethodProxy.java:204)
	at org.springframework.aop.framework.CglibAopProxy$CglibMethodInvocation.invokeJoinpoint(CglibAopProxy.java:720)
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:157)
	at org.springframework.aop.aspectj.MethodInvocationProceedingJoinPoint.proceed(MethodInvocationProceedingJoinPoint.java:85)
	at cn.itouchtv.debug.StopTaskAndMqAspect.aroundMQStop(StopTaskAndMqAspect.java:57)
	at sun.reflect.GeneratedMethodAccessor281.invoke(Unknown Source)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:498)
	at org.springframework.aop.aspectj.AbstractAspectJAdvice.invokeAdviceMethodWithGivenArgs(AbstractAspectJAdvice.java:629)
	at org.springframework.aop.aspectj.AbstractAspectJAdvice.invokeAdviceMethod(AbstractAspectJAdvice.java:618)
	at org.springframework.aop.aspectj.AspectJAroundAdvice.invoke(AspectJAroundAdvice.java:70)
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:168)
	at org.springframework.aop.interceptor.ExposeInvocationInterceptor.invoke(ExposeInvocationInterceptor.java:92)
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:179)
	at org.springframework.aop.framework.CglibAopProxy$DynamicAdvisedInterceptor.intercept(CglibAopProxy.java:655)
	at cn.itouchtv.news.service.rabbitmq.NewsRabbitMQReceiver$$EnhancerBySpringCGLIB$$63fa09c6.receive(<generated>)
	at sun.reflect.GeneratedMethodAccessor550.invoke(Unknown Source)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:498)
	at org.springframework.messaging.handler.invocation.InvocableHandlerMethod.doInvoke(InvocableHandlerMethod.java:197)
	at org.springframework.messaging.handler.invocation.InvocableHandlerMethod.invoke(InvocableHandlerMethod.java:115)
	at org.springframework.amqp.rabbit.listener.adapter.DelegatingInvocableHandler.invoke(DelegatingInvocableHandler.java:108)
	at org.springframework.amqp.rabbit.listener.adapter.HandlerAdapter.invoke(HandlerAdapter.java:52)
	at org.springframework.amqp.rabbit.listener.adapter.MessagingMessageListenerAdapter.invokeHandler(MessagingMessageListenerAdapter.java:125)
	at org.springframework.amqp.rabbit.listener.adapter.MessagingMessageListenerAdapter.onMessage(MessagingMessageListenerAdapter.java:105)
	at org.springframework.amqp.rabbit.listener.AbstractMessageListenerContainer.doInvokeListener(AbstractMessageListenerContainer.java:777)
	at org.springframework.amqp.rabbit.listener.AbstractMessageListenerContainer.invokeListener(AbstractMessageListenerContainer.java:700)
	at org.springframework.amqp.rabbit.listener.SimpleMessageListenerContainer.access$001(SimpleMessageListenerContainer.java:95)
	at org.springframework.amqp.rabbit.listener.SimpleMessageListenerContainer$1.invokeListener(SimpleMessageListenerContainer.java:187)
	at org.springframework.amqp.rabbit.listener.SimpleMessageListenerContainer.invokeListener(SimpleMessageListenerContainer.java:1187)
	at org.springframework.amqp.rabbit.listener.AbstractMessageListenerContainer.executeListener(AbstractMessageListenerContainer.java:681)
	at org.springframework.amqp.rabbit.listener.SimpleMessageListenerContainer.doReceiveAndExecute(SimpleMessageListenerContainer.java:1165)
	at org.springframework.amqp.rabbit.listener.SimpleMessageListenerContainer.receiveAndExecute(SimpleMessageListenerContainer.java:1149)
	at org.springframework.amqp.rabbit.listener.SimpleMessageListenerContainer.access$1100(SimpleMessageListenerContainer.java:95)
	at org.springframework.amqp.rabbit.listener.SimpleMessageListenerContainer$AsyncMessageProcessingConsumer.run(SimpleMessageListenerContainer.java:1312)
	at java.lang.Thread.run(Thread.java:745)
Caused by: redis.clients.jedis.exceptions.JedisConnectionException: java.net.SocketTimeoutException: Read timed out
	at redis.clients.util.RedisInputStream.ensureFill(RedisInputStream.java:202)
	at redis.clients.util.RedisInputStream.readByte(RedisInputStream.java:40)
	at redis.clients.jedis.Protocol.process(Protocol.java:151)
	at redis.clients.jedis.Protocol.read(Protocol.java:215)
	at redis.clients.jedis.Connection.readProtocolWithCheckingBroken(Connection.java:340)
	at redis.clients.jedis.Connection.getIntegerReply(Connection.java:265)
	at redis.clients.jedis.BinaryJedis.sadd(BinaryJedis.java:1298)
	at org.springframework.data.redis.connection.jedis.JedisConnection.sAdd(JedisConnection.java:1872)
	... 46 common frames omitted
Caused by: java.net.SocketTimeoutException: Read timed out
	at java.net.SocketInputStream.socketRead0(Native Method)
	at java.net.SocketInputStream.socketRead(SocketInputStream.java:116)
	at java.net.SocketInputStream.read(SocketInputStream.java:170)
	at java.net.SocketInputStream.read(SocketInputStream.java:141)
	at java.net.SocketInputStream.read(SocketInputStream.java:127)
	at redis.clients.util.RedisInputStream.ensureFill(RedisInputStream.java:196)
	... 53 common frames omitted

2018-07-16 13:00:11.657 ERROR [newsservice,,,] 17864 --- [ XNIO-5 task-52] io.undertow.request                      : UT005023: Exception handling request to /v6/hotNews

用到的elk如下:

elasticsearch-6.3.1.tar.gz 

kibana-6.3.1-linux-x86_64.tar.gz
logstash-6.3.1.tar.gz 

elasticserach直接解压后启动即可:./bin/elasticserach  -d (-d表示后台运行)

kibana直接解压,然后把访问的localhost改成本机的ip地址:

server.host: "192.168.86.128"

然后启动kibana,运行 ./kibana &

注意:我这里主要是想在我本机windows的浏览器上访问kibana来方便查看数据而已

最后就是logstash了,基本大部分工作在这里:

解压logstash,然后进入config目录,创建一个配置文件errorlog.conf

具体配置如下:

# 输入插件
input {
    file {
	   # 代表要分析的日志的位置,这里也可以使用正则的,比如*.log,就会读入所有的.log结尾的日志
       path => "/home/itouchtv/log/nohup.log" 
	    
	   # 这里是多行读入,默认情况下,logstash是一行一行读的,刚开始的时候,我返现一个错误信息,分成几十行
	   # 非常不方便,我想要完整的错误信息。
       codec => multiline {
	      # 正则配置的模式,这里我是自定义的,^代表以什么开头,%{YEAR}-%{MONTHNUM}-%{MONTHDAY}代表yyyy-MM-dd格式的日期
		  # \s代表是一个空格,*代表前面的空格出现的次数可以为0次或者多次,%{TIME}代表 HH:mm:ss格式的时间
		  # 2018-07-16 13:00:11会被匹配到,然后在下一个匹配成功的前的所有行,会被当成同一个事件。所以同一个error的信息
		  # 会被放到一起。
          pattern => "^%{YEAR}-%{MONTHNUM}-%{MONTHDAY}\s*%{TIME}" 
		  
		  # 是否启用正则
          negate => true
		  
		  # 先前闭合,意思是在下一个成功匹配之前,这些数据不读入
		  # 比如最后一个2018-07-16 13:00:11被匹配了,然后下面没有再出现这种格式的数据,那么这段数据就不会读入到logstash中
          what => "previous"
        }
	   
	   # 文件的读入位置,文件开始的位置读,不过要保证:logstash-6.3.1/data/plugins/inputs/file下没有记录你要分析文件的偏移地址
	   # 你在该目录下 ls -a 会看到是否有这种类型的文件 .sincedb_2905c14f44d79b0840f736856456d179,一般开始的时候,没有这个文件
	   # 所以它会读入全部文件,读完之后,会记录读入的位置,下次再发现文件更新的时候,再增量的读入新增的内容。
       start_position => "beginning"
	   
	   # 这个是我读入多种类型的数据,进行区分的时候加入的,我再实际的开发中,除了读入这种异常分析的日志外,还读入了访问的日志,
	   # 进行访问。
       type => "errorlog"
    }
}

# 过滤器
filter {
   # 固定的语法,你想要引用一个变量的话,用[],比如这里就是引入上面的type=>"errorlog"这个变量
   if [type] == "errorlog" {
      # 这是个好东西,可以进行很正则分析,然后提取出需要的信息
      grok {
	     # message固定写法,上述input中每个事件的信息都会放入到这里来,然后再通过后面的正则进行匹配
		 # 2018-07-16 13:00:14.544  WARN [newsservice,7dfc2622d7e5af21,9ab170947a9b7429,false] 17864 --- [ XNIO-5 task-20] 
		 # %{YEAR}-%{MONTHNUM}-%{MONTHDAY}\s*%{TIME}这里和上述一样功能,接下来的.就是点本身,\d是代表数字{3},出现三次,所以
		 # 这里刚好是.544被匹配到了,同样的再匹配0个或者多个空格,(?<Level>[A-Z]{3,20}),这里是自定义正则匹配,匹配的数据会
		 # 放入到Level中,比如这里(?<Level>xxx),xxx是正则表达式,[A-Z]{3,20}是说这里可以是长度为3到20的字符串,由A-Z的任意字目
		 # 组成,比如上述的例子  WARN 是由[A-Z]组成的,切长度为4,也在(3,20)内,所以会被匹配赋给Level这个变量
         match => ["message","%{YEAR}-%{MONTHNUM}-%{MONTHDAY}\s*%{TIME}.\d{3}\s*(?<Level>[A-Z]{3,20})"]
      }
      
	  # 获取Level的变量值,如果和右边的字符串相等,就丢弃这个事件,数据就会被忽略
      if [Level] == "DEBUG" {
         drop {}
      }
 
      if [Level] == "WARN" {
         drop {}
      }
 
      if [Level] == "INFO" {
         drop {}
      }
   }

}

# 输出插件
output {
  if [type] == "errorlog" {
     # 固定格式,表示输出到es中
     elasticsearch {
	    # es的地址和端口好
        hosts => ["localhost:9200"]
		# 输入到es中的索引的名字,%{}表示会在字符串中应用变量
		# %{type} 输入accesslog这个值,%{+YYYY.MM.dd} 固定写法
		# 会读入当前系统的日期
        index => "itouchtv-%{type}-%{+YYYY.MM.dd}"
     }
  }
}

然后启动logstash:

./bin/logstash -f config/errorlog.conf 

启动完后,就可以通过kibana查看数据了。

访问 http://192.168.31.98:5601(访问的时候注意下,要关闭防火墙才行),即可,kibana里面对数据的操作,放到下一章,记录远程日志分析的时候再讲。

甜美河边的钓鱼人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK 本地使用
create
07-24 313
ELK 是 elastic 公司旗下三款产品ElasticSearch、Logstash、Kibana的首字母组合。 1、Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。 它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 2、Logstash 主要是用来日志的搜集、分析、过滤日志的...
ELK 日志分析系统
weixin_34302798的博客
10-08 574
大纲:一、简介二、Logstash三、Redis四、Elasticsearch五、Kinaba一、简介1、核心组成ELK由Elasticsearch、Logstash和Kibana三部分组件组成;Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。Logstash...
ELK-日志分析系统
热门推荐
二十同学
09-23 5万+
为什么要建立日志分析系统: 当我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。 解决办法是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。 一般大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块,构
Elk+filebeat搭建日志系统1
08-03
**搭建ELK日志系统的步骤**: 1. **环境准备**: 首先确保你有一台运行CentOS 7的服务器,并安装了Java 8和Node.js v9.8.0(因为Kibana依赖Node.js)。然后,你需要下载ELK栈的四个组件:Filebeat、Logstash、...
LinuxLog.rar_ConnectBean.JAVA_linux_日志 分析 系统_日志系统_系统日志
09-24
本文将深入探讨“LinuxLog.rar”压缩包中涉及到的“ConnectBean.JAVA”与Linux日志分析系统的相关知识。 首先,让我们理解"ConnectBean.JAVA"的角色。在Java编程中,"Bean"通常指的是符合JavaBeans规范的类,它是一...
ELK日志归集 - 搭建及使用说明文档V1.0.docx
11-14
总结来说,ELK日志归集方案利用Elasticsearch的强大存储和分析能力,Logstash的灵活数据处理,Filebeat的轻量级采集,以及Kafka的可靠传输,构建了一个高效、可扩展的日志管理系统。通过这样的系统,可以有效地管理...
芒果TV ELK日志系统实践 -刘波涛
04-15
### 芒果TV ELK日志系统实践 #### 一、引言 随着互联网技术的飞速发展,海量的数据处理成为了IT领域的关键任务之一。其中,日志系统的构建尤为重要,它不仅能够帮助运维人员及时发现问题,还能为业务提供数据分析...
日志服务器ELK全量资源软件共享
最新发布
03-04
ELK(Elasticsearch, Logstash, Kibana)是...总之,这个压缩包提供了构建一个强大的日志分析系统的必要组件,不仅可以帮助优化运维效率,还能提升系统的安全性,对于任何处理大量日志数据的IT环境都是极其有价值的。
本地搭建ELK系统
幸福在路上
01-24 3324
ELK系统主要由三部分组成,分别是elasticsearch、logstash、kibana。ELK系统收到推送过来的日志后,首先由logstash解析日志中的字段,分解成一个一个的关键字。elasticsearch将关键字与日志信息关联起来,以一种特定的格式化方式存储数据到硬盘。kibana提供与用户的交互界面,根据用户需求,从elasticsearch中读取信息并在网页上显示。本文以Redhat
本地搭建ELK(elasticsearch, logstash, kibana)日志收集系统
weixin_30629977的博客
06-08 114
环境准备:macos 预先安装brew包管理器 1.安装elasticsearch流程 那么,咱们先去安装java8 接着,咱们继续按照elasticsearch 接着,咱们启动elasticsearch 然后咱们去访问看看,默认访问地址:http://localhost:9200/ 返回这样的数据,说明安装成功! 2.安装logstash ...
本地搭建ELK--JAVA版230226
PASSERYFFF的博客
02-26 336
本地搭建ELK--JAVA版230226
ELK分布式日志收集搭建和使用
weixin_30273763的博客
01-22 192
大型系统分布式日志采集系统ELK全框架 SpringBootSecurity1、传统系统日志收集的问题2、Logstash操作工作原理3、分布式日志收集ELK原理4、Elasticsearch+Logstash+Kiabana整合5、Logstash将数据推送到ES6、Kibana图形界面展示ES日志信息 搭建环境虚拟机要求:2G以上内存 1.传统问题: 传统系统日志收集的问题 在...
ELK加载日志文件
qq_37548443的博客
02-17 114
filebeat获取应用日志,logstash分析日志,elasticsearch查询存储查询,kibana前端页面展示
elk加载本地日志_您应该停止在本地托管ELK堆栈的5个原因
danpu0978的博客
05-18 197
elk加载本地日志 托管的ELK堆栈:集中管理日志以获取乐趣和收益 您的口中看不到礼物马。 特别是如果它不是一匹马,实际上是麋鹿。 它会用鹿角戳您。 或喝醉了的发酵苹果,把后院丢掉 。 尽管这是我们愿意接受的职业危害,所以让我们以任何方式来看一下。 在本文中,我们希望分享一些有关您自己部署和管理ELK堆栈的注意事项,并向您介绍托管ElasticSearch的世界。 换句话说,什么时候从...
Elasticsearch及ELK使用(二):日志数据采集
zyplanke的专栏
06-26 4526
上一篇结束了Elasticsearch和kibana的安装和基本使用。本文介绍日志数据采集(也叫日志采集),涉及filebeat的软件和logstash软件。 本文分别介绍了从日志文件采集和从数据库(MySQL)中采集。
ELK:收集Docker容器日志
weixin_30273763的博客
04-28 728
简介 之前写过一篇博客 ELK:日志收集分析平台,介绍了在Centos7系统上部署配置使用ELK的方法,随着容器化时代的到来,容器化部署成为一种很方便的部署方式,收集容器日志也成为刚需。本篇文档从 容器化部署ELK系统,收集容器日志,自动建立项目索引,ElastAlert日志监控报警,定时删除过期日志索引文件 这几个方面来介绍ELK。 大部分配置方法多是看官方文档,理解很辛苦,查了很多文章,...
【运维知识大神篇】超详细的ELFK日志分析教程4(ES读写文档原理+集群角色+master节点与数据节点分离+Logstash安装部署+Logstash采集本地文件+采集Nginx日志)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
11-24 1171
本篇文章继续给大家介绍ELK日志分析的有关内容,我们的ES和Kibana都介绍的差不多了,所以本篇文章重点介绍Logstash的有关内容,介绍完毕后,我们的ELK架构将初步形成,此外还有ES读写文档的原理,了解原理,更深层次的理解,使用ES。
ELK 6.8 安装与日志分析实战指南
本文档是一份详尽的ELK(Elasticsearch、Logstash、Kibana)6.8版本安装与日志分析实战教程,适用于CentOS 7系统。首先,作者强调了环境准备的重要性,包括关闭iptables和Selinux以确保系统的安全性和稳定性。 文档...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值