filebeat收集java程序多行报错

最新推荐文章于 2024-09-04 17:49:26 发布
最新推荐文章于 2024-09-04 17:49:26 发布
阅读量597 收藏
点赞数
文章标签: java servlet jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_ttcd/article/details/126502803
版权

1.什么是java程序多行报错

一个java程序报错往往是一个事件,这个报错并不是一行就能展示完的,几乎需要几十行才能展示完这个报错内容,对于filebeat来说,filebeat每次都是把一行看成了一个日志,那么对于java多行报错就不是很友好了,即使收集过来也是将一个事件的报错日志分成很多行在kibana上展示,这样对于开发人员来看日志就很头疼了

如果对于多行报错的日志还用传统的收集方法,就像下图一样,完全不知道报错是什么了,不管谁看这个日志都需要去对比

多行报错日志:一般的报错日志都是1行就可以显示完整,但是有一些像java的项目一行就显示不完整报错内容,往往是多行一起分析才能看出来报错的内容

只要是需要将多行报错连在一起的日志都属于多行报错型日志

多行报错型日志收集方案:一个报错肯定是以xxx开头,到下一个xxx的时候结束,我们可以通过匹配规则,匹配到xxx,只要下一行日志内容不是xxx,就都连在一起,直到遇到下一个xxx为止

tomcat java报错日志举例

这就是一个典型的多行报错的日志

可以看到它就是以时间开始的,现在是20xx年嘛,所以可以匹配只要是以20开头的行,只要下一行不是20开头,就集合在一起,直到遇到下一个20就结束

2.配置filebeat收集多行tomcat程序java多行报错

部分配置项进行说明:

multiline.pattern: '^20' //多行匹配规则,以xxx开头的,使用正则表达式 multiline.negate: true //值为true或flase,使用flase表示将匹配到的行合并到上一行,使用true表示将不匹配的行合并到上一行(用true的一般比较多,因为多行报错,肯定不是匹配的行合并在一起,那样就没有详细信息了) multiline.match: after //值为after和befor,使用after表示合并到匹配行的上一行末尾,使用before表示合并到匹配行的行首(一般就是after,合并到匹配行的上一行末尾就可以了)

2.1.配置filebeat收集多行报错

<pre class="prettyprint hljs vim" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">1.修改配置文件
[root@nginx02 /etc/filebeat]# vim filebeat.yml
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /data/tomcat/logs/catalina.out
  multiline.pattern: '^20'                  #多行匹配规则
  multiline.negate: true                    #将不匹配的规则的行合并在一起
  multiline.match: after                #合并到匹配规则的上一行末尾
  tags: ["java"]

output.elasticsearch:
  hosts: ["192.168.81.210:9200"]
  indices:
    - index: "tomcat-java-%{+yyyy.MM.dd}"
      when.contains:
        tags: "java"

2.重启filebeat
[root@nginx02 /etc/filebeat]# systemctl restart filebeat

2.2.制造java多行报错

随便打开配置文件,改错一个地方,来回启动就有了报错日志

<pre class="prettyprint hljs perl" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">[root@nginx02 /data/tomcat]# vim conf/server.xm
<ssssServer port="8005" shutdown="SHUTDOWN">

[root@nginx02 /data/tomcat]# ./bin/startup.sh

2.3.查看es是否创建索引并产生数据

已经有了153条数据

3.在kibana上关联es索引并统计日志

3.1.关联索引

点击Managerment---索引模式---创建索引

创建成功

3.2.查询java多行报错日志

点击Discovery---选择java索引---搜索ERROR就可以看到java多行的报错日志了,可以明显看到,行变的高了,多行日志也就说明合并在了一起

Java_ttcd
关注
Filebeat收集JAVA报错日志
江晓龙的博客
07-19 1166
上面的这一段日志就是一个典型的JAVA多行报错内容了,可以看到这个事务中是有很多行组成的,使用传统的日志收集,这四行堆日志是单独作为一行采集的,在kibana呢,这四行也是单独展示的,脱离了上下文的显示,非常不利于日志的一个分析。将正则匹配出的堆日志内容合并到上一行的开头或者末尾,after表示开头,before表示结尾,这个参数可以将我们匹配出的内容与不匹配的行合并在一起,也就形成了将举例日志内容的4行全部合并到了一起,达成了我们想要的效果。可以增加一个message字段,只查看日志的内容。...
使用filebeat和logstash解析java的log4j日志
起止洺的博客
03-22 7364
目的:我们使用filebeat来接受日志,并将日志做一个简单的处理,然后发给logstash,使用logstash的filter的grok来匹配日志,将日志解析成json格式并将日志输出在logstash的控制台上. 首先看一下我们的日志样例,这是一个标准的java的log4j日志: 2019-02-28 10:24:48 org.tinyradius.util.RadiusClient.auth...
17filebeat收集java程序多行报错.md
10-29
17filebeat收集java程序多行报错.md
filebeat收集java程序多行报错(八)
江晓龙的博客
06-18 1253
filebeat收集java程序多行报错 1.什么是java程序多行报错 一个java程序报错往往是一个事件,这个报错并不是一行就能展示完的,几乎需要几十行才能展示完这个报错内容,对于filebeat来说,filebeat每次都是把一行看成了一个日志,那么对于java多行报错就不是很友好了,即使收集过来也是将一个事件的报错日志分成很多行在kibana上展示,这样对于开发人员来看日志就很头疼了 如果对于多行报错的日志还用传统的收集方法,就像下图一样,完全不知道报错是什么了,不管谁看这个日志都需要去对比 多行
ELK学习笔记(三)——使用Filebeat8.15.0收集日志
最新发布
王一横的个人博客
09-04 1422
前面教程已经把ElasticSearch和Kibana部署完毕,接着我们就要使用filebeat收集我们的java服务日志,这里首先介绍一下ELK和EFK的区别。
Filebeat处理多行换行的问题
~O~
03-01 1558
fillbeat处理多行日志问题
java filebeat_filebeat合并多行日志示例
weixin_34690611的博客
02-24 933
译文多行配置示例本节中的示例包括以下内容: 将Java堆栈跟踪日志组合成一个事件将C风格的日志组合成一个事件结合时间戳处理多行事件Java堆栈跟踪Java示例一:Java堆栈跟踪由多行组成,每一行在初始行之后以空格开头,如本例中所述: Exception in thread "main" java.lang.NullPointerException at com.example...
filebeat合并多行日志示例
weixin_34151004的博客
12-14 1740
2019独角兽企业重金招聘Python工程师标准>>> ...
解决Filebeat收集Java多行报错问题
Filebeat配置多行报错收集Filebeat的配置文件中,我们需要设置`multiline`参数来实现这一策略: - `multiline.pattern: '^20'`: 这条配置指定了正则表达式,表示匹配以"20"开头的行,这通常是时间戳的格式。 -...
filebeat合并java日志多行信息
热门推荐
wzz_ccr的博客
04-12 1万+
编辑配置文件 [root@web-bj-docker-10 filebeat]# vim filebeat.yml #添加以下内容 #=========================== Filebeat prospectors ============================= filebeat.prospectors: # Each - is a prospec
efk7.13搜集java日志-filebeat配置详解
06-29
efk7.13搜集java日志—filebeat配置详解笔记总结
Filebeat错误日志多行合并为一行
qq_41154522的博客
07-11 1890
我的日志格式如下:(以 |- 开头) |- 2020-07-11 13:05:59 ERROR [restartedMain] org.apache.catalina.core.StandardService : 182 Failed to start connector [Connector[HTTP/1.1-8080]] org.apache.catalina.LifecycleException: Failed to start component [Connector[HTTP/1.1-8080]]
MySQL导出数据 用Java读时一行记录的某些列出现换行导致读取到多行数据 问题分析与解决方法
Daioo 随笔
08-31 1078
背景 数据库导出到文件中的一项记录,出现了多行…… 根据主键查数据库发现,数据字段中有换行符…… 但是奇怪的事情是,我用命令:cat data.txt |wc -l查看文本行数时,只有一行 可是我拿到自己机器(Mac)用SublineText打开,发现是多行! 正文 开始关注到ASCII码中的CR(回车符)、LF(换行符) 找到问题的原因:为什么会使用命令查询行数是一行,用文本读取器打开是多行 这...
【面试必备】图文详解:ElasticSearch实战(1)
08-05 198
exclude_lines: 排除匹配列表中的正则表达式。 include_lines:包含匹配列表中的正则表达式。 exclude_files: 排除的文件,匹配正则表达式的列表。 fields: 可选的附加字段。这些字段可以自由选择,添加附加信息到抓取的日志文件进行过滤。 multiline.pattern: 多行合并匹配规则,匹配正则表达式。 multiline.match:匹配可以设置为“after”或“before”。它用于定义是否应该将行追加到模式中在之前或之后匹配的,或者只要模式没有基于ne.
java filebeat_Filebeat 模块与配置(2)
weixin_28898707的博客
02-24 433
的小编总结,对于每个输入,Filebeat保存它找到的每个文件的状态。因为文件可以重命名或移动,所以文件名和路径不足以标识文件。对于每个文件,Filebeat存储惟一标识符,以检测文件是否以前读取过。如果你的情况涉及每天创建大量的新文件,你可能会发现注册表文件变得太大了。(画外音:Filebeat保存每个文件的状态,并将状态保存到registry_file中的磁盘。当重新启动Filebeat时,文...
kernel:堆(heap)和栈(stack)区别
maze的专栏
08-21 1091
简单的可以理解为: heap:是由malloc之类函数分配的空间所在地。地址是由低向高增长的。 stack:是自动分配变量,以及函数调用的时候所使用的一些空间。地址是由高向低减少的。 预备知识—程序的内存分配 一个由c/C++编译的程序占用的内存分为以下几个部分 1、栈区(stack)— 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等。其操作方式类似于数据结构中的栈。 2、堆区(heap...
java filebeat_filebeat 提取java时间
weixin_28815535的博客
02-24 637
日志收集可能因机器性能而产生延迟,filebeat默认10秒扫描一次文件,收集时间集中也会导致日志按时间排序混乱,container处理器会降低日志写入时间的精度,所以提取java输出日志的时间有利于排序查看日志,java日志的写入时间大多精确到微秒,可能不足以正确排序,还可以借助filebeat 记录的offset排序。具体实现采用elasticsearch 的 ingest 节点功能,使用gr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值