logStash对于多行日志的合并(四)

最新推荐文章于 2024-05-07 19:03:49 发布
最新推荐文章于 2024-05-07 19:03:49 发布
阅读量3.6k 收藏 4
点赞数
分类专栏: 大数据-ELK 文章标签: logstash 合并日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hr787753/article/details/79092487
版权

日志总是免不了出异常 ,或者开发人员打出的日志 是json格式 多行的就需要对 日志多行进行合并 ,这个很常用 ,之后我会再开一个flume合并多行的情况
诸如此类的日志:

[ERROR] [] 2017-10-23 09:34:37,855 操作超时,请重新登录
com.*****.*******.exception.MobileException: 操作超时,请重新登录
    at com.*****.*****.base.session.MobileIntercepter.preHandle(MobileIntercepter.java:102)
    at org.springframework.web.servlet.HandlerExecutionChain.applyPreHandle(HandlerExecutionChain.java:130)
    at org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:919)
    at org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:856)
    at org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:936)
    at org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:839)
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:727)
    at org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:812)
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:820)
    at weblogic.servlet.internal.StubSecurityHelper$ServletServiceAction.run(StubSecurityHelper.java:227)
    at weblogic.servlet.internal.StubSecurityHelper.invokeServlet(StubSecurityHelper.java:125)
    at weblogic.servlet.internal.ServletStubImpl.execute(ServletStubImpl.java:300)
    at weblogic.servlet.internal.TailFilter.doFilter(TailFilter.java:26)
    at weblogic.servlet.internal.FilterChainImpl.doFilter(FilterChainImpl.java:57)
    at org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:89)
    at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
    at weblogic.servlet.internal.FilterChainImpl.doFilter(FilterChainImpl.java:57)
    at weblogic.servlet.internal.RequestEventsFilter.doFilter(RequestEventsFilter.java:27)
    at weblogic.servlet.internal.FilterChainImpl.doFilter(FilterChainImpl.java:57)
    at weblogic.servlet.internal.WebAppServletContext$ServletInvocationAction.wrapRun(WebAppServletContext.java:3715)
    at weblogic.servlet.internal.WebAppServletContext$ServletInvocationAction.run(WebAppServletContext.java:3681)
    at weblogic.security.acl.internal.AuthenticatedSubject.doAs(AuthenticatedSubject.java:321)
    at weblogic.security.service.SecurityManager.runAs(SecurityManager.java:120)
    at weblogic.servlet.internal.WebAppServletContext.securedExecute(WebAppServletContext.java:2277)
    at weblogic.servlet.internal.WebAppServletContext.execute(WebAppServletContext.java:2183)
    at weblogic.servlet.internal.ServletRequestImpl.run(ServletRequestImpl.java:1454)
    at weblogic.work.ExecuteThread.execute(ExecuteThread.java:209)
    at weblogic.work.ExecuteThread.run(ExecuteThread.java:178)

又或者是 这样的:

[INFO ] [] 2017-10-23 09:26:08,713 当前的参数为:{
  "data" : {
    "*******" : "#####################6ypPsznW########ccYmnCSw6HTog=jCD\/t1flm4bU2GL9Xf+hFQ=="
  },
  "header" : {
    "*******" : "#####",
    "********" : "####",
    "********" : "#####",
    "*********" : "#####################IP36ypPsznW6ure7DxYSS350xPw9ccYmnCSw6HTog=jCD\/t1flm4bU2GL9Xf+hFQ==",
    "******" : "1.0",
    "******" : "2"
  }
}
[INFO ] [##############] 2017-10-23 09:26:09,479 接收参数完毕

涉及到公司隐秘 部分日志在这里手动脱敏了

下面说 详细解决方案:

在logStash低版本中 使用 filter中的 multiline插件 在高版本中 filter中没有 multiline插件 此插件转移到了 input codec插件中

低版本:

filter {
    multiline {
    }

高版本:

input {
    file {
       type => "e_mall-bank"
       path => "/var/logs/*.log"
       start_position => "beginning"
       codec=>multiline{
                pattern => "\s*\["
                negate => true
                what => "previous"
        }

    }
}

重点内容在 codec插件中 的 multiline插件
pattern 是 匹配日志的正则 negate是 是否匹配(正选,反选)
what 是 匹配到的那些加入到 上一个事件还是下一个事件
默认一行一个事件 我当然加入上一个事件啦

这样 抛出的异常 什么 一大堆 at 都在一行了。

帅气的程序员
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash 多行合并
zhaoyangjian724的专栏
11-29 1170
logstash
Logstash合并多行日志为一行(Tomcat日志合并和grok处理)
qq_40673345的博客
04-01 2508
tomcat的catalina.out日志如下: [root@localhost logs]# cat to_catalina.log -----------------alarm start------------------------ --------------mail start--------------- -----------------alarm start---------...
logstash 和 filebeat多行日志 合并
cagezxy的博客
11-17 2005
filebeat logstash 配置多行日志 合并
logstash 对敏感信息脱敏
最新发布
weixin_43815019的博客
05-07 322
关键字之后的内容替换为。
k8s elk之logstash日志数据筛选、合并、字段匹配、索引区分
04-23 926
【代码】k8s elk之logtash日志数据筛选、合并、字段匹配、索引区分。
Logstash:使用并行 Logstash 管道提高持久队列吞吐量
Elastic 中国社区官方博客
08-02 3585
默认情况下,Logstash 管道阶段(输入→管道工作器)之间使用内存中有界队列来缓冲事件。 但是,为了防止异常终止期间的数据丢失,Logstash 具有持久性队列功能,可以启用该功能以将消息队列存储在磁盘上。 队列位于输入和过滤器阶段之间,如下所示: input → persistent queue → filter + output 根据持久队列博客文章,Logstash 持久队列应该对整体吞吐量产生很小的影响。 尽管对于管道受 CPU 约束的用例通常是这样,但在其他情况下,持久队列可能会导致 L
Spring Boot 使用 logback、logstash、ELK 记录日志文件的方法
08-28
Spring Boot 使用 logback、logstash、ELK 记录日志文件的方法 Spring Boot 是一个基于 Java 的框架,用于构建可靠的、可维护的、灵活的 web 应用程序。在日志记录方面,Spring Boot 默认使用 logback 记录日志,...
基于logstash实现日志文件同步elasticsearch
01-19
logstash最初始的日志同步功能还没有介绍。本文就logstash同步日志到ES做下详细解读。 1、目的: 将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES中。 2、源文件: [root@5b9dbaaa148a test_log...
python实时监控logstash日志代码
09-16
Python 实时监控 Logstash 日志代码是用于监测 Logstash 输出的日志信息,当发现特定的错误关键词时,它会触发警报。Logstash 是一款强大的数据处理管道工具,常用于日志管理和分析。通过 Python 编写的监控脚本,...
SpringBoot继承LogStash实现日志收集的方法示例
08-26
SpringBoot 继承 LogStash 实现日志收集的方法示例 本文主要介绍了 SpringBoot 继承 LogStash 实现日志收集的方法示例,旨在帮助开发者快速了解 LogStash 的配置和使用方法。 一、环境准备 在开始之前,需要安装 ...
ELK架构原理分析
Carson073的博客
11-29 852
一、日志简介 1.1 什么是日志 日志是带时间戳的基于时间序列的机器数据,包括IT系统信息(服务器、网络设备、操作系统、应用软件)、物联网各种传感器信息。日志反映用户行为,是事实数据,也是系统运维、故障诊断、性能分析的重要来源。对于任何系统,日志都是极其重要的组成部分。 1.2 日志处理的背景 随着大数据时代的来临,系统日志量也呈指数级增加。伴随着日志格式复杂度的增加、规模的扩大以及应用节点的增多...
java的日志合并
12-27
合并两个日子文件File file0=new File("D:\\230.log"); File file1=new File("D:\\231.log"); File file=new File("D:\\1.log"); BufferedReader reader0=null; BufferedReader reader1=null; BufferedWriter writer=null;
大数据脱敏方案
03-05
描述了基于大数据的数据脱敏规则,脱敏算法,基于电力数据的使用案例
logstash 吞吐量优化_filebeat+kafka+logstash+elasticsearch全链路日志收集系统压测分享...
weixin_39671509的博客
12-20 424
前阵子做了一次日志收集系统压测,我们的全链路日志收集系统采用filebeat+kafka+logstash+elasticsearch,今天主要分享原始日志入库ES的压测经验,并不涉及storm的实时日志处理。压测目标是120万条日志/分钟,压测团队由本人、自动压测同事、SRE、众多PO、领导组成。压测的目标是明确的,却不太好下手。经过优化后,大概摸索出了方案。真是团队协作才完成,手上排满了别的活...
分布式日志聚集系统开发总结
zidian666的博客
02-21 469
项目功能 主要功能:接收来自多个节点的日志,按节点名存入文件。 分析功能:设定多个Tag,将日志与Tag匹配。最终可以让用户指定Tag,将所有匹配日志存入指定文件。 对外接口类 LogService 主要对外接口。 启动后持续运行,接收节点日志,交给Handler类处理。 用户可以设定并行线程数。 TagManager 管理Tag。 单例。 Analyst 分析数据。 生成Tag文件。 内部实现类 FileWriter 打开文件写入。 Han...
1.logstash实现敏感信息脱敏及超长字符截取
wang37444的专栏
05-07 4123
我们通过filebeat收集的日志通常没有进行敏感信息的脱敏工作,以及一些base64超长字符如果不做处理,存储到es及在kibana展示也会耗费性能。 针对这两个问题我们可以进行如下配置: 1.设置超长字符截取 进入logstash安装目录,config文件夹下新建文件logstash_to_es相关配置如下: filter { if [type] == "filebeat" { grok ...
分布式系统日志集中到一台服务器,将分布式中多台节点的日志信息集中到一个节点上...
weixin_39884144的博客
08-06 659
转载:http://my.oschina.net/duxuefeng/blog/3175701,准备master:10.1.5.241slave01:10.1.5.242在服务器端和客户端分别安装rsyslog[root@master ~]# yum -y rsyslog[root@master ~]# rsyslogd -versionrsyslogd 5.8.10, compiled with...
Logstash日志多行合一行(日志错行)
珊瑚海的博客
05-09 8832
我们在用Logstash收集日志的时候会碰到日志会错行,这个时候我们需要把错的行归并到上一行,使某条数据完整;也防止因为错行导致其他字段的不正确。 在Logstash-filter插件中,multiline插件可以解决这个问题,举个例子如下: 假如我们的日志形式如下: 2016-04-05 13:39:52.534 1.28.253.193 20160311090433074f5b47c04
如何将filebeat采集到的数据传到logstash时将日志文件多行合并
05-31
4. 在logstash中,可以在input的codec选项中使用multiline选项来解析多行日志。例如: ``` input { beats { port => 5044 codec => multiline { pattern => '^\[' negate => true what => 'previous' } } }...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值