elasticsearch查询filebeat采集的日志

已于 2022-04-02 17:41:32 修改
阅读量3.4k 收藏 1
点赞数
分类专栏: java 文章标签: elasticsearch
于 2022-03-24 13:27:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26347283/article/details/123708668
版权

依赖

不要问为什么不用7或者8,因为不会

 <dependency>
            <groupId>org.elasticsearch.client</groupId>
            <artifactId>elasticsearch-rest-high-level-client</artifactId>
            <version>6.8.5</version>
</dependency>

ES配置

package cn.logsquery.config;

import lombok.Data;
import lombok.extern.slf4j.Slf4j;
import org.apache.http.HttpHost;
import org.apache.http.auth.AuthScope;
import org.apache.http.auth.UsernamePasswordCredentials;
import org.apache.http.client.CredentialsProvider;
import org.apache.http.impl.client.BasicCredentialsProvider;
import org.apache.http.impl.nio.client.HttpAsyncClientBuilder;
import org.elasticsearch.client.RestClient;
import org.elasticsearch.client.RestClientBuilder;
import org.elasticsearch.client.RestHighLevelClient;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.stereotype.Component;

/**
 * @Author: junfeng
 * @CreateTime: 2022/03/18
 * @Description: es配置
 */
@ConfigurationProperties(prefix = "elasticsearch")
@Component
@Configuration
@Data
@Slf4j
public class EsConfig {

    private String ip;

    private String port;

    private String account;//账号 例:elastic

    private String passWord;//密码 例:123456

    private String fileBeatIndex;//密码 例:123456

    @Bean
    public RestHighLevelClient client() {
        log.info("~~~~~~~~~~~~~~~~~~~~~~~~~~初始化化连接ES~~~~~~~~~~~~~~~~~~~~~");
        log.info("ES信息,IP:{},PORT{},USERNAME:{},PASSWORD:{},FILEBEATINDEX:{}",ip,port,account,passWord,fileBeatIndex);
        final CredentialsProvider credentialsProvider = new BasicCredentialsProvider();
        //设置账号密码
        credentialsProvider.setCredentials(AuthScope.ANY, new UsernamePasswordCredentials(account,passWord));
        ///创建rest client对象
        RestClientBuilder builder = RestClient.builder(new HttpHost(ip, Integer.parseInt(port))).setHttpClientConfigCallback(new RestClientBuilder.HttpClientConfigCallback() {
            @Override
            public HttpAsyncClientBuilder customizeHttpClient(HttpAsyncClientBuilder httpAsyncClientBuilder) {
                return httpAsyncClientBuilder.setDefaultCredentialsProvider(credentialsProvider);
            }
        });
        RestHighLevelClient client = new RestHighLevelClient(builder);
        return client;
    }


}

查询核心代码

 @Autowired
 private EsConfig client;

 @Override
 public IPage<LogResponseVO> queryLog(LogQueryVO logQueryVO) throws IOException {
        //1. 构建查询请求对象,指定查询的索引名称
        SearchRequest searchRequest = new SearchRequest(client.getFileBeatIndex());
        //2. 创建查询条件构建器SearchSourceBuilder
        SearchSourceBuilder sourceBuilder = new SearchSourceBuilder();
        //3. 查询条件
        QueryBuilder queryBuilder = getBoolQuery(logQueryVO);
        //4. 指定查询条件
        sourceBuilder.query(queryBuilder);
        //5. 添加分页信息
        sourceBuilder.from((int) logQueryVO.getPage().getCurrent() * logQueryVO.getSize());
        sourceBuilder.size(logQueryVO.getSize());
        //6. 排序
        sourceBuilder.sort("@timestamp", logQueryVO.getSort());
        //7. 添加查询条件构建器 SearchSourceBuilder
        searchRequest.source(sourceBuilder);
        SearchResponse searchResponse = client.client().search(searchRequest, RequestOptions.DEFAULT);
        //8. 获取命中对象 SearchHits
        SearchHit[] hits = searchResponse.getHits().getHits();
        int i = 0;
        Page<LogResponseVO> page = logQueryVO.getPage();
        List<LogResponseVO> list = new ArrayList();
        int size = logQueryVO.getHighlight().size();
        // 9. 组装返回对象
        for (SearchHit hit : hits) {
            Map<String, Object> logDetailMap = hit.getSourceAsMap();
            String ProName = (String) logDetailMap.get("message");
            LogResponseVO response = new LogResponseVO();
            response.setHid(hit.getId());
            response.setMessage(ProName);
            response.setTimestamp((String) logDetailMap.get("@timestamp"));
            if (size > 0) {
                String highLightStr = getLightMessages(ProName, logQueryVO.getHighlight());
                response.setHigtlight(highLightStr);
            }
            response.setId(++i);
            list.add(response);
        }
        //10. 返回分页
        page.setRecords(list);
        page.setTotal(searchResponse.getHits().getTotalHits());
        page.setCurrent(logQueryVO.getPage().getCurrent());
        page.setPages(logQueryVO.getPage().getPages());
        return page;
    }

    /**
     * 高亮处理
     */
    private String getLightMessages(String proName, List<HighlightVO> highlight) {
        for (HighlightVO vo : highlight) {
            if (StringUtils.isEmpty(vo.getColor()) && StringUtils.isEmpty(vo.getWord())){
                proName = proName.replaceAll(vo.getWord(), "<text style=\"color: " + vo.getColor() + ";\">" + vo.getWord() + "</text>");
            }
        }
        return proName;
    }

    /**
     * 查询条件
     */
    public BoolQueryBuilder getBoolQuery(LogQueryVO logQueryVO) {
        //1.构建boolQuery
        BoolQueryBuilder boolQuery = QueryBuilders.boolQuery();
        //2.构建各个查询条件
        //2.1 查询message名称为:关键字
        if (!StringUtils.isEmpty(logQueryVO.getKeyword())) {
            MatchQueryBuilder messageQueryBuilder = QueryBuilders.matchQuery("message", logQueryVO.getKeyword());
            boolQuery.must(messageQueryBuilder);
        }
        //2.2. 查询:系统名称
        if (!StringUtils.isEmpty(logQueryVO.getSysName())) {
            TermQueryBuilder sysNameQueryBuilder = QueryBuilders.termQuery("service.name", logQueryVO.getSysName());
            boolQuery.filter(sysNameQueryBuilder);
        }

        //2.3. 查询:日志等级
        if (!StringUtils.isEmpty(logQueryVO.getLogLevel())) {
            TermQueryBuilder levelQueryBuilder = QueryBuilders.termQuery("log.level", InfoLevelEnum.getValue(logQueryVO.getLogLevel()));
            boolQuery.filter(levelQueryBuilder);
        }
        //2.4. 查询:时间范围包含
        if (!StringUtils.isEmpty(logQueryVO.getStartTime()) && !StringUtils.isEmpty(logQueryVO.getEndTime())) {
            //时间格式:2022-03-22T07:28:46.111Z
            RangeQueryBuilder rangequerybuilder = QueryBuilders
                    .rangeQuery("@timestamp")
                    .from(DateUtil.format(logQueryVO.getStartTime(), DATE_UTC_PATTERN))
                    .to(DateUtil.format(logQueryVO.getEndTime(), DATE_UTC_PATTERN));
            boolQuery.filter(rangequerybuilder);
        }

        return boolQuery;
    }

解决超过10000行报错

PUT /filebeat-*/_settings
{ "index.max_result_window" :"100000000"}

或者在filebeat里面加入配置
“index.max_result_window”: “100000000”,

Junfeng Tang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
efk7.13搜集java日志-filebeat配置详解
06-29
efk7.13搜集java日志filebeat配置详解笔记总结
CC00290.CloudKubernetes——|KuberNetes&运维.V12|——|EFLK架构.v07|验证日志输出采集是否正常|
yanqi_vip
03-31 661
一、验证日志输出采集是否正常 ### --- 进入Filebeat-pod查看是否正常启动 ~~~ 查看Filebeat容器 [root@k8s-master01 filebeat]# kubectl get po -n public-service -owide NAME READY STATUS ...
Elasticsearch查询日志配置
最新发布
weixin_46294086的博客
05-25 422
代码精选(www.codehuber.com),程序员的终身学习网站已上线!后端技术】、【前端领域】感兴趣的小可爱,也欢迎关注❤️❤️❤️ 【JavaGPT】❤️❤️❤️,我将会给你带来巨大的【收获与惊喜】💝💝💝!
filebeat日志采集的一次流程记录
wejack的专栏
06-25 2397
背景:公司采购的一套第三方应用,部署在阿里云上,因为第三方有权限登录该服务器,所以不能将该服务器与公司的内网生产服务器进行打通 ,不能直接接入公司内网的已有的日志采集功能中,现在要想办法将该应用的日志采集到公司的日志采集中。 ​ 出于安全原因,公司的内网服务器的端口不能向阿里云服务器开放,google查了下文档,可以filebeat可以安装output.http插件,支持http请求的输出,公司的应用可以配置公网的域名,提供http接口给予阿里云上的filebeat进行调用 ,所以初步.
轻量型日志采集Filebeat基本使用
有勇气的牛排博客
02-23 2090
文章目录1 介绍2 安装2.1 下载安装3 收集日志配置4 启动5 举例5.1 Filebeat收集日志并输出到控制台5.2 Filebeat收集Nginx运行日志并输出到es5.3 基于Nginx module使用Filebeat收集Nginx运行日志并输出到es 1 介绍 Filebeat是一个日志文件托运工具,安装客户端后,filebeat会监控指令日志, 下载地址: https://www.elastic.co/cn/beats/filebeat https://www.elastic.co/cn/
Filebeat
LoveSummer
03-12 1479
Filebeat 简介 filebeat概述 Filebeat是本地文件的日志数据发送者。作为服务器上的代理安装,Filebeat监视日志目录或特定的日志文件,tails文件,并转发到Elasticsearch或Logstash索引。Filebeat是一个Beat,它是基于libbeat框架。 工作原理: 启动Filebeat时,它会启动一个或多个Prospectors(查找器),查看日志文件指定...
Beats:通过 Filebeat日志传入到 Elasticsearch
热门推荐
Elastic 中国社区官方博客
09-12 1万+
我们知道Elastic Stack被称之为ELK (Elasticsearch,Logstash and Kibana)。由于beats的加入,现在很多人把ELK说成为ELKB。这里的B就是代表Beats。Beats在Elasticsearch中扮演很重要的角色。 从上面的图上,我们可以看出来,Beats可以帮我们采集数据,并把它传入到Elasticsearch或Logstash之中。Bea...
使用FileBeat采集MQ日志Elasticsearch时所需资料
03-22
本教程将详细介绍如何使用FileBeat采集MQ(Message Queue)日志并将其存储到Elasticsearch。 首先,我们需要了解FileBeat的基本概念。FileBeat是由 Elastic 公司开发的开源工具,它是Logstash Forwarder的替代品...
日志文件采集工具filebeat,版本8.2.2
06-14
1. **Elasticsearch**:作为数据存储和搜索引擎,接收Filebeat转发的日志数据,支持高效的数据索引和查询。 2. **Kibana**:提供直观的界面,用户可以在这里查看、搜索和分析Filebeat收集的日志,构建仪表板以监控...
Filebeat 采集 Nginx 日志的方法
01-08
涉及到 Elastic Stack 中 Filebeat 是用于采集 Nginx 相关的日志Elasticsearch 是用于对于数据落地存储和搜索的引擎, Kibana 是用于对数据可视化的工具。 在 Nginx 中相关的日志是存储在 /var/log/nginx 目录下...
ELK7.1.1+FileBeat 收集日志.pdf
07-22
基础ElasticSearch7.1.1版本搭建日志收集框架;采用FileBeat采集log日志,通过logstash过滤后导入ES
Filebeat 实时收集 Nginx 日志1
08-03
配置完成后,Filebeat 将收集的日志发送至 Elasticsearch,这里需要配置 `output.elasticsearch`,包括 Elasticsearch 服务器的 IP 和端口,以及索引名称,例如 `filebeat_server_nginx_%{+YYYY-MM}`,这里的 `%{+...
Elastic Stack日志分析(四)- Elasticsearch Java API操作详解
程序园@大Null
02-22 1145
索引操作,文档操作,高级查询查询所有索引数据,term查询,分页查询,数据排序,过滤字段,Bool 查询,范围查询,模糊查询,高亮查询,聚合查询,最大年龄查询,分组统计,创建索引,查看索引,删除索引,添加文档,修改文档,查询文档,删除文档,批量操作
filebeat收集日志到es实践
疾风sxp的博客
09-24 7828
1、环境 操作系统:windows10 elasticsearch:7.14.1 filebeat:7.14.1 elasticsearch-head:5.0.0 2、安装 2.1.安装elasticsearch 官网下载地址:Download Elasticsearch Free | Get Started Now | Elastic | Elastic,你可以根据操作系统选择自己需要的版本,由于本次实践采用的是windows10 64位操作系统,所以选择下载了windows版本的es,将下
filebeat+logstash收集日志,kibana查询
Carlos__z的专栏
02-01 502
文章目录安装logstash安装filebeatLogstash配置并启动filebeat配置并启动kibana查询日志总结 安装logstash 官网下载包,解压 mkdir -p /usr/local/logstash && cd /usr/local/logstash tar -zxvf logstash-7.6.1.tar.gz cd logstash-7.6.1 bin/logstash -e 'input { stdin {} } output { stdout {} }' h
ES06# Filebeat采集原理与监控指标梳理
gaoliang1719的专栏
05-04 3730
引言当Filebeat作为日志采集的agent铺开时,对其自身agent的监控以确保稳定就尤为的重要,有几种方式监控agent运行。第一种 filebeat自己将监控埋点上报第二种 filebeat暴露埋点接口,另外一个agent定时采集后上报第二种能够监测filebeat的进程状况,例如官方提供的Metricbeat,也可以自己实现agent上报监控指标。本文就其如何监...
kafka- elk-filebeat 日志收集
面朝大海,春暖花开
04-30 1135
kafka - 集成 elk+filebeat 日志收集 基于 elasticsearch 7.x 什么是 ELK ? ELK: Elasticsearch + Logstash + Kibana Logstash: 日志读取 FileBeat: 比 Logstash 更轻量级 日志收集流程 流程: fileBeat 从各节点读取日志文件 fileBeat日志写入 kafka logstash 从 kafka 订阅 日志 logstash 将日志写入 elasticsearch kibana 展示
filebeat信息采集
moyuanbomo的博客
05-22 1128
在主配置文件做修改,添加一些信息,增加 自定义输出内容(codec.format) 参数配置。在主配置文件做修改,添加一些信息,使用Processors(处理器)过滤和增强(加)数据。二、对采集的信息做处理,对一些filebeat所携带的元数据进行删除。一、对采集的信息不做处理,就保持主配置文件和子配置文件不做修改。三、只要日志数据,对filebeat所携带的元数据一律不要。主配置文件,采集到的信息放到kafka。
Filebeat 日志采集利器
zzhongcy的专栏
05-05 977
首先Filebeat是Beats中的一员。Beats在是一个轻量级日志采集器,其实Beats家族有6个成员,早期的ELK架构中使用Logstash收集、解析日志,但是Logstash对内存、CPU、io等资源消耗比较高。相比Logstash,Beats所占系统的CPU和内存几乎可以忽略不计。Filebeat结构:由两个组件构成,分别是inputs(输入)和harvesters(收集器),这些组件一起工作来跟踪文件并将事件数据发送到您指定的输出,harvester负责读取单个文件的内容。
ELK日志归集 - 搭建及使用说明文档V1.0.docx
11-14
- **Elasticsearch**:作为分布式搜索引擎,Elasticsearch能够快速索引和查询大量日志数据,提供高效的数据存储和检索能力。 - **Kibana**:Kibana提供友好的Web界面,用于查看和交互式探索Elasticsearch中的日志...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值