配置Logstash(3) — 玩转多行事件

最新推荐文章于 2023-02-11 21:52:30 发布
最新推荐文章于 2023-02-11 21:52:30 发布
阅读量180 收藏
点赞数
文章标签: java c/c++
原文链接:https://my.oschina.net/yumg/blog/547367
版权

玩转多行事件

1.介绍说明

缺省情况下,Logstash认为一行文本就是一个事件对象的范围,这也符合大多数实际情形。但是,同样有很多情形是一个事件是由多行文本构成的,比如Java应用的日志中会出现异常堆栈信息。如此以来,Logstash就需要能够分辨一个文本行是否为一个多行事件的组成部分。注意,以上讨论的有一个大的前提基础:Logstash从文本中分析事件对象的过程中,文本行是最基本的处理单位。

Logstash提供了multiline codecmultiline filter两个插件来处理多行事件问题,也就是说使用者可以在input阶段结合codec,或者在filter阶段直接使用filter来处理。Logstash的推荐实践是尽量将该项处理前置。原因有二,第一:前置该处理将有助于尽早定型事件对象;第二:由于该插件中将会维护相邻行状态,所以如果置于filter阶段将会限制filter的线程数量只能为1。

multiline codecmultiline filter的配置选项是一致的,以input中的codec为例,配置如下:

input {
  stdin {
    codec => multiline {
      pattern => "pattern, a regexp"
      what => "previous" or "next"
      negate => true or false
    }
  }
}

这其中有三个选项参数:

  • pattern
  • what
  • negate

最重要的是前两个:patternwhat,这二者结合起来共同影响了解码(过滤)的执行操作逻辑。从大意上讲,pattern是用来匹配文本行的正则表达式(这其中也可以直接使用grok pattern),解码(过滤)器会依据匹配结果来判断当前文本行是否是一个多行事件的组成部分。而what可以设置的两个字符串值:previousnext,分别表示“向前”和“向后”的意思。那么结合pattern的匹配结果来讲,“向前”的含义就是说当前被匹配成功的行与上一行合为同一个多行事件的一部分,“向后”的含义就是说当前被匹配成功的行与下一行合为同一个多行事件的一部分。

默认情况下,pattern匹配成功则认为当前行是多行事件的组成部分,否则就会完成本次多行事件的扫描,向pipeline的下游传递得出的事件对象。negate选项的作用在于设置是否对pattern匹配结果取反,其默认值是false,意思就是不起作用。如果设置为true会将pattern匹配结果取反,进而将多行事件扫描过程中的行匹配逻辑反置(pattern匹配失败则认为当前行是多行事件的组成部分)。

2.示例

2.1 分析Java堆栈追踪日志

处理内容如下:

Exception in thread "main" java.lang.NullPointerException
        at com.example.myproject.Book.getTitle(Book.java:16)
        at com.example.myproject.Author.getBookTitles(Author.java:25)
        at com.example.myproject.Bootstrap.main(Bootstrap.java:14)

针对以上数据,以行开头处是否有空白字符为匹配规则:

input {
  stdin {
    codec => multiline {
      pattern => "^\s"
      what => "previous"
    }
  }
}

2.2 分析以时间开头的多行日志

处理内容如下:

[2015-08-24 11:49:14,389][INFO ][env] [Letha] using [1] data paths, mounts [[/
(/dev/disk1)]], net usable_space [34.5gb], net total_space [118.9gb], types [hfs]

针对以上数据,以行开头处内容中是否有时间信息为匹配规则:

input {
  file {
    path => "/var/log/someapp.log"
    codec => multiline {
      # Grok pattern names are valid! :)
      pattern => "^%{TIMESTAMP_ISO8601} "
      negate => true
      what => previous
    }
  }
}

2.3 分析带有折行符号的文本数据

处理内容如下,

printf ("%10.10ld  \t %10.10ld \t %s\
  %f", w, x, y, z );

像诸如C语言等多种编程语言中,都会以行尾的\表示“此行未完,接下行”的意思。处理这样大的输出,可以使用以下配置:

input {
  stdin {
    codec => multiline {
      pattern => "\\$"
      what => "next"
    }
  }
}

转载于:https://my.oschina.net/yumg/blog/547367

chuiku1691
关注
logstash 多行合并
zhaoyangjian724的专栏
11-29 1233
logstash
logstash 处理多行
zhaoyangjian724的专栏
08-25 3856
2.2.2 多行事件编码: zjtest7-frontend:/usr/local/logstash-2.3.4/bin# ./plugin list | grep multi Ignoring ffi-1.9.13 because its extensions are not built. Try: gem pristine ffi --version 1.9.13 logstash-code
ELK logstash 处理多行事件
ronon77的专栏
01-05 547
实际效果如下:        按行显示:                    多源文件合并显示:           有些日志是分多行输出的,为了能正确的处理这些多行事件logstash必须哪些行是单一事件的一部分。多行事件处理是比较复杂的,需依赖正确的事件顺序。最佳方法是尽早的在管道中处理以保证日志有序。这就是本文要说到的logstash管道multiline code...
logstash 同时支持多个管道_ELK logstash 处理多行事件(25th)
weixin_30438053的博客
02-26 298
有些日志是分多行输出的,为了能正确的处理这些多行事件logstash必须哪些行是单一事件的一部分。多行事件处理是比较复杂的,需依赖正确的事件顺序。最佳方法是尽早的在管道中处理以保证日志有序。这就是本文要说到的logstash管道multiline codec,专门来处理合并多行事件的。multiline插件最重要的方面:pattern选项指定一个正则表达式。 事件匹配指定的正则表达式来确定是...
logstash ruby 分割原始事件多个事件
weixin_35750747的博客
02-11 421
Logstash Ruby 可以通过使用 split 函数将一个原始事件分割为多个事件。例如,假设您有一个包含多行文本的原始事件,每行文本都是一个单独的事件,则可以使用以下代码: filter { ruby { code => " event.get('message').split(/\\n/).each do |line| line_event =...
logstash安装及切分日志配置多行切分问题
Mr.ZY的专栏
08-02 1323
logstash是ELK中收集信息的部分,发送到elasticsearch,最近在配置这一块,记录一下 我用的是logstash-7.6.2 下载logstash-7.6.2.tar.gz包后解压 tar -zxvf logstash-7.6.2.tar.gz 进入到logstash-7.6.2/config下新增一个config文件,我这里增加一个toes.config input { file { #日志路劲 path => ["日志文件地址/*.log4j"]
Logstash——multiline 插件,匹配多行日志
热门推荐
我的地盘
09-22 2万+
Logstash——multiline 插件,匹配多行日志
Logstash -filebeat 6.5 多行日志合并
Beckham的博客
05-09 1589
日志内容: authenticatorClient: <82fa722c1abd2ee6effd39ac954f3927> loginMode: <2> timestamp: <509110741> version: <48> 2020-05-09 11:07:41.200 |INFO | SENT: status:
windows环境下nssm配置logstash为系统服务
09-21
Windows 环境下使用 NSSM 配置 Logstash 为系统服务 在 Windows 环境下,NSSM(Non-Sucking Service Manager)是一个功能强大的服务管理工具,能够帮助我们轻松地将 Logstash 配置为系统服务。本文将指导您如何使用...
Logstash合并多行日志为一行(Tomcat日志的合并和grok处理)
qq_40673345的博客
04-01 2606
tomcat的catalina.out日志如下: [root@localhost logs]# cat to_catalina.log -----------------alarm start------------------------ --------------mail start--------------- -----------------alarm start---------...
logstash 解析多行日志
weixin_34026484的博客
08-08 1470
为什么80%的码农都做不了架构师?>>> ...
Logstash+filebeat 7.6 实现监控服务异常日志并钉钉告警
zbz1006572352的博客
02-26 3858
1.背景描述 flumehttpresource作为我司数据上报的核心服务,为了保证稳定运行,及时发现异常,要求接入异常日志监控。我作为唯一的一个大数据运维,考虑将日志异常信息接入钉钉机器人告警。 由于java水平堪堪自慰,用linuxbashshell写又过于麻烦,各种过滤规则,想想就头大,想起了日志搜索神器TLK,反正以后还需要接入,借此机会就研究下。目前要求比较简单,用不到ES...
logstash解析日志-multiline多行日志解析示例
兔纸先森的后花园
07-20 2399
Codec 是 logstash 从 1.3.0 版开始新引入的概念(Codec来自Coder/decoder 两个单词的首字母缩写)。在此之前,logstash 只支持纯文本形式输入,然后以过滤器处理它。但现在,我们可以在输入期处理不同类型的数据,这全是因为有了 codec 设置。所以,这里需要纠正之前的一个概念。Logstash 不只是一个input | filter | output...
filebeat - logstash 多行合并 解决数据丢失以及无法读取最后一行
AbnerSunYH的博客
11-15 1万+
filebeat - logstash 多行合并 解决数据丢失以及无法读取最后一行,使用logstash-filter-multiline 最后一行日志会等待1s时间,如果日志没有新的数据,则发送最后一行日志数据
logstash多行合并
weixin_34304013的博客
01-04 967
这里我之前是在input里面配置多行合并,合并语法为: input { beats { type =&gt; beats port =&gt; 7001 codec =&gt; multiline { patterns_dir =&gt; ["/data/package/logstash/ven...
logstash 丢掉特定记录
weixin_42644062的博客
11-19 509
https://stackoverflow.com/questions/27519974/selective-parsing-of-csv-file-using-logstash "Comm_Plan","Queue_Booking","Order_Reference","Generation_Date" "","No","FMN1191MVHV","31/03/2014" "","No","...
Logstash收集日志丢失之时间问题
Coding Farmer的博客
03-07 1万+
很傻X的一个问题,但是还是要把他记录下来 logstash导入到es中,发现丢失数据,查看logstash日志发现是转还日期问题 日志转换异常,导致数据导入不到索引中,也不会出现_grokparsefailure,导致数据丢失,所以我配置的错误日志日志文件中不存在该错误日志,我用动态模板都把他设置成string类型(es为2.x.x),match:"*",不知道为什么他有变成date类型...
logstash中multilline插件读取静态文件丢失最后一条数据
QYHuiiQ
11-10 1037
在使用multiline插件时发现总是读不到最后一条数据,且在停掉logstash时这条数据才会读出来。翻了帖子后发现应该添加auto_flush_interval => 1属性才行。 input { file { path => ...... start_position => ...... sincedb_path =&g...
坑爹的logstash条件判断
mvpboss1004的博客
07-06 1万+
logstash可以使用条件判断来控制filter的执行。官方说明见Accessing Event Data and Fields in the Configuration。支持的运算符包括: equality: ==, !=, <, >, <=, >= regexp: =~, !~ inclusion: in, not in boolean: and, or, nand, xor unary: !
Logstash多行解析配置
最新发布
08-02
Logstash是一个强大的日志管理和数据处理工具,它主要用于收集、过滤、增强和输出各种来源的日志数据。其中,多行解析配置主要是通过`multiline`插件来处理那些由多行组成的复杂日志事件,比如HTTP响应体或数据库查询结果。 在Logstash配置文件中,你可以设置如下的模式来解析多行日志: ```yaml filter { multiline { pattern => "^(\d{4}-\d{2}-\d{2})\s+(\w+): (.+)$" # 此处是一个正则表达式,匹配每一行的日志开始 negate => false # 默认为false,表示按正向匹配,即找到匹配就认为是一起的 what => "previous" # 指定如何匹配,这里表示从上一行开始匹配直到找到结束标记 match => after # 或者是"after",表示从当前行开始匹配 max_lines => 5 # 可选参数,指定最多允许跨越多少行 skip_empty_lines => true # 是否忽略空行 } } ``` 在这个例子中,`pattern`指定了一个模式,`multiline`会对输入的数据按照这个模式进行分组,将连续匹配的部分视为一个整体事件。然后你可以对这些合并后的事件进行进一步的处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值