flume1.5 kafka0.8 logstash2.4 es5.6 错误日志聚集解决方案

最新推荐文章于 2021-09-24 09:36:36 发布
最新推荐文章于 2021-09-24 09:36:36 发布
阅读量628 收藏
点赞数
分类专栏: 大数据 文章标签: flume kafka logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39259062/article/details/79320430
版权

错误日志聚集解决方案

简述:

目的:对分散在各集群上的错误日志信息进行实时采集聚集,

由flume采集给kafka, 之后消费到logstash进行日志解析,最终将解析的json格式数据交由elasticsearch,利用kinbana进行查询,图表展示。

 

 

目前版本为 flume 1.5 kafka0.8.1.1

原本存在的问题:flume采集时如果文件发生了变化无法判断是否为原文件,因而无法进行采集。

解决方案:

利用Flume 1.7+提供的 Source taildir 可根据unix系统下文件唯一标识读取文件。将taildir作为自定义source使用即可。

 

 

采集后的日志文件如果存储在hbase中,如果需要多纬度查询,则开发较复杂。

解决方案:

利用ES与kinbana结合可以轻松展示采集到的日志信息,并且可以利用解析的数据进行多维度分析,并且可以简便地生成图表。

 

其他:

针对Error日志java 异常抛出时会产生多行日志,需要采集的时候合并行,因而重新自定义了 source 的readEvents方法。(有已存在的解决方案http://www.androidev.com/2017/12/03/中国民生银行大数据团队的flume实践-2017-12-02/)

 

根据现状选择的版本:

Flume 1.5 kafka 0.8.1.1 logstash 2.4 es 5.6

效果达成:

hadoop 的错误日志 统计

 

 

 

 


在flume的配置文件中



 

Flume配置解释

图为自定义的multiline配置

 

       

自定义了在传给kafka之前为日志添加前缀,hostname 及 frame 用于增添维度。

agent.sinks.kafkaSink.split 可以设置分隔符默认 @,

 

logstash配置:

 

  

Input:kafka topic设置

 

 

filter部分解释:

用于解析日志生成json 给es 并去除多余信息。

示例:

dev-hadoop6@,hadoop@,2018-02-0614:53:58,198 ERROR [http-nio-8080-exec-1] db.KafKaInfo - kafka getGroupInfofailed

 

https://grokdebug.herokuapp.com/可以进行grok的测试

(?<hostname>[a-zA-Z0-9-]+)@,(?<frame>[a-zA-Z0-9-]+)@,(?<time>%{YEAR:year}-%{MONTHNUM:month}-%{MONTHDAY:day}\s%{HOUR:hour}:%{MINUTE:minutes}:%{SECOND:seconds},\d{3})\s%{LOGLEVEL:level}(?<info>.*)

红色部分为解析后的json内容其余部分由remove_field抛弃(默认传递过来的k,v是message,日志信息  如果丢弃message则相当于丢弃了原本的日志,而解析的部分将传给ES。)

 

基本规则:

(?<key的值>匹配该值的正则)

例如dev-hadoop6

(?<hostname>[a-zA-Z0-9-]+)  会将他转换为

{

 "hostname": [

   [

     "dev-hadoop6"

   ]

 ]

}

 

Logstash中有其自带的pattern 使用方法即 %{HOUR:键的名称}

HOUR在源码中对应 (logstash 2.4)

ventor/bundle/jruby/1.9/gems/logstash-patterns-core-2.0.5/patterns

 

./grok-patterns:

HOUR (?:2[0123]|[01]?[0-9])

可仿照该方式自定义,只要放在该目录下即可。

内部实现为ruby的正则。

 

Output: ElasticSearch设置

                    Stdout输出到控制台 用于测试观察

 

注:如果条件允许可以使用filebeat替代flume 更加方便(flume源码是javafilebeatruby)。

 

执行命令语句:

 

启动logstash

nohup bin/logstash -f normalLog.conf>/dev/null 2>&1 &

 

 

 

bin/flume-ngagent -n agent --conf conf --conf-file conf/hadoopLog.conf -Dflume.root.logger=INFO,console

 

10.100.3.174:~/cluster/flume-release

 

nohup bin/flume-ng agent -n agent --confconf --conf-file conf/esLog.conf -Dflume.monitoring.type=http-Dflume.monitoring.port=5658 >/dev/null 2>&1 &

 

nohup bin/flume-ng agent -n agent --confconf --conf-file conf/hadoopLog.conf -Dflume.monitoring.type=http-Dflume.monitoring.port=5655 >/dev/null 2>&1 &

 

nohup bin/flume-ng agent -n agent --confconf --conf-file conf/kafkaLog.conf -Dflume.monitoring.type=http-Dflume.monitoring.port=5657 >/dev/null 2>&1 &

 

nohup bin/flume-ng agent -n agent --confconf --conf-file conf/hbaseLog.conf -Dflume.monitoring.type=http-Dflume.monitoring.port=5656 >test/flumelogs/hbase 2>&1 &

 

nohup bin/flume-ng agent -n agent --confconf --conf-file conf/flumeLog.conf -Dflume.monitoring.type=http-Dflume.monitoring.port=5659 >/dev/null 2>&1 &

 

需要先创建该topic

bin/kafka-topics.sh--create --zookeeper localhost:2181 --replication-factor 3 --partitions 3 --topic filebeat

 

./kafka-console-consumer.sh -zookeeper10.100.3.175:2181 --from-beginning --topic filebeat

需要根据不同框架的日志自定义采集方式,存储的frame,及解析方式。进行配置文件的改写。

 

 

 

 

 

 

 

 

正则优化:

可以匹配的日志格式:

除去自定义的header 日期格式无论被[] 包裹与否,以T或者空格分隔日与小时与否,日志等级level 是否被[]包裹与否皆可匹配。

一:

dev-hadoop6@,elasticsearch@,[2018-02-09T12:45:11,489][WARN][o.e.t.n.Netty4Transport  ] [node-3]exception caught on transport layer [[id: 0xf8399a18, L:/10.100.3.176:9300 !R:/10.100.51.28:58432]], closing connection

io.netty.handler.codec.DecoderException:java.io.StreamCorruptedException: invalid data length: 0

atio.netty.handler.codec.ByteToMessageDecoder.callDecode(ByteToMessageDecoder.java:459)~[netty-codec-4.1.13.Final.jar:4.1.13.Final]

二:

dev-hadoop6@,hadoop@,2018-02-0614:53:58,198 ERROR [http-nio-8080-exec-1] db.KafKaInfo - kafka getGroupInfofailed

 

三:

[2018-02-09 14:42:52,976] ERROR Closingsocket for /10.100.3.176 because of error (kafka.network.Processor)

java.io.IOException: 断开的管道

       at sun.nio.ch.FileDispatcherImpl.write0(Native Method)

       at sun.nio.ch.SocketDispatcher.write(SocketDispatcher.java:47)

       at sun.nio.ch.IOUtil.writeFromNativeBuffer(IOUtil.java:93)

       at sun.nio.ch.IOUtil.write(IOUtil.java:65)

       at sun.nio.ch.SocketChannelImpl.write(SocketChannelImpl.java:471)

       at kafka.api.TopicDataSend.writeTo(FetchResponse.scala:122)

       at kafka.network.MultiSend.writeTo(Transmission.scala:102)

 

 

 

(?<hostname>[a-zA-Z0-9-]+)@,(?<frame>[a-zA-Z0-9-]+)@,((\[)|([\s]*))(?<time>%{YEAR:year}-%{MONTHNUM:month}-%{MONTHDAY:day}(([T]{1})|([ ]{1}))%{HOUR:hour}:%{MINUTE:minutes}:%{SECOND:seconds},\d{3})((\][\s]*)|([\s]*))((\[)|([\s]*))%{LOGLEVEL:level}[\s]*((\][\s]*)|([\s]*))(?<info>.*)

 

对log4j2中出现的[ ]进行了判断。

 


 

遇到过的问题:

Flume 长时间启动后可能产生oom 具体缘由未发现,症状为linux中进程还在,但是以及停止了日志采集工作。调大了flume启动的jvm内存后暂时未发现状况。(jdk1.8后永生代由jvm自己控制,应该不是代码的原因)在flume的日志中发现了channel沾满的记录,可能因此导致内存溢出?扩大了channel容量。

 

 

最新的配置文件截图:

 

Flume日志的收集。

 

 

Logstash 按月建立索引 给es

 


Poche_lzx
关注
专栏目录
flumekafka整合
Lu_Xiao_Yue的博客
12-01 276
kafka整合flume flume中监控本地的一个文件,当文件中内容有追加时 ,就把文件中的数据读取出来,flume把数据流向的一个topic中,kafka可以启动一个消费者,消费该topic中的数据。 1、在flume中新建一个文件夹Job,然后把新建一个.conf文件,内容如下,这里新建的是一个f2k.conf #agent是这个job的名称 #源 agent.sources = s1 ...
【ELK企业级日志分析系统】部署Filebeat+Kafka+Logstash+Elasticsearch+Kibana集群详解(EFLFK)
陌上花开,静待绽放!
07-13 1602
需做白日梦。你要清楚地知道你到底是谁,要去哪里。要成为一个什么样的人,很多人浑浑噩噩,得过且过。你能清楚地意识到,或者梦想去到达彼岸,有时候,人生境遇就是如此,轻而易举滴到达你的彼岸。
Flume错误
fz1989的专栏
03-16 789
Flume运行遇到Exception in thread "SinkRunner-PollingRunner-DefaultSinkProcessor" java.lang.OutOfMemoryError: GC overhead limit exceeded错误 网上搜了下,是JVM Size太小, 解决方法: 1. ps -aux|grep flume 查看刚才启动的flume进程,发
ES错误记录
shengpli′s blog
04-27 706
一、Too many open files 1.修改linux应用可打开文件句柄数,默认是4096 /etc/security/limits.conf 增加2行 soft nofile 100001 hard nofile 100002 2.如果步骤1没解决,可能是ssh限制,修改/etc/ssh/sshd_config允许ssh登录加载ulimit的限制
kafka整合flume
chbxw
03-07 471
一、kafkaflume的安装 apache-flume-1.5.2-bin kafka_2.10-0.10.2.1 kafka安装部署 flume学习01—安装 二、flume监控某个目录,将数据发送kafka 2.1、flume source 使用SpoolDir 监控一个目录下的文件内容 SpoolDir监控目录下文件, 处理后的文件修改文件名 问题...
使用Flume+Logstash+Kafka+Spark Streaming进行实时日志处理分析【大数据】
10-29
flume+Logstash+Kafka+Spark Streaming进行实时日志处理分析【大数据】
日志采集方案和集群flume+kafka+elasticsearch
flyingant9的博客
09-24 478
准备工作: 1、服务器三台 172.16.xx.17 172.16.xx.18 172.16.xx.19 2、更改主机名(可选,本机器主机名太长) vi /etc/hosts vi /etc/systemconfig/network 3、安装jdk:jdk-8u131-linux-x64.tar.gz 1.8版本,不按照会出现莫名错误、jps无法使用 配置/etc/profile export JAVA_HOME=/usr/java/jdk1.8.0_131 export JRE_HOME=JAVAHOME
基于flume+kafka+HBase+spark+ElasticSearch的用户轨迹查询大数据开发项目+源代码+文档说明
最新发布
12-28
基于flume+kafka+HBase+spark+ElasticSearch的用户轨迹查询大数据开发项目 项目名称:实时的用户轨迹查询项目 项目介绍: 利用企业建设的WIFI基站,实时采集用户的信息,可以基于这些信息做用户画像处理,网络安全...
flume+kafka+flink+mysql数据统计
04-20
在大数据处理领域,FlumeKafka、Flink 和 MySQL 是四个非常重要的组件,它们各自承担着不同的职责,共同构建了一套高效的数据流处理系统。本文将深入探讨这些技术及其在"flume+kafka+flink+mysql数据统计"中的应用...
Flume + kafka + log4j构建日志采集系统
08-30
Flume + kafka + log4j构建日志采集系统,附实例及文档。
通过Flume拉取Kafka数据保存到ES
Meyao's Blog
06-08 4877
通过Flume拉取Kafka数据保存到ES
_00022 Flume-1.5.0+Kafka_2.9.2-0.8.1.1+Storm-0.9.2 分布式环境整合
妳那伊抹微笑的专栏
07-14 6423
# 学习前言 框架整合中用到的所有工程代码,jar包什么的都已经上传到群214293307共享中,需要的话自己下载研究了。 # Flume的学习请参考_00016 Flume的体系结构介绍以及Flume入门案例(往HDFS上传数据)这篇博文 # Kafka的学习请参考_00017 Kafka的体系结构介绍以及Kafka入门案例(初级案例+Java API的使用)这篇博文 # Storm的学习请参考_00019 Storm的体系结构介绍以及Storm入门案例(官网上的简单Java案例)这篇博文 请学习
Flume+kafka+flink+es 构建大数据实时处理
Nryana0的博客
01-20 4053
大数据目前的处理方法有两种:一种是离线处理,一种是实时处理。如何构建我们自己的实时数据处理系统我们选用flume+kafka+flink+es来作为我们实时数据处理工具。因此我们的架构是: flume集群 kafka集群 flink集群 es集群 其具体架构如图 对于flume集群,它的作用就是采集数据并将数据提供给kafka集群,我们可以通过topic来实现。 对于zoo...
基于flume+kafka+logstash+es的分布式日志系统
Jews
07-23 3985
本文将从以下几点讲解的分布式日志系统 1.日志埋点 2.日志收集 3.日志处理分析 4.日志查询展示   先看一下日志数据流程图: flume监听日志文件收集每行日志发到kafkalogstash消费kafka中的消息将日志解析成json插入到eses提供日志查询 1.日志埋点 由于我们项目结构是网关+dubbo服务实例的分布式系统,埋点主要在http的网关和rpc的服务...
基于Flume+Kafka+ Elasticsearch+Storm的海量日志实时分析平台
热门推荐
ddcowboy的博客
01-19 1万+
基于Flume+Kafka+ Elasticsearch+Storm的海量日志实时分析平台 原文网址:http://www.weixinnu.com/tag_article/1542492037 作者:互联网技术联盟 微信公众号 日期:2016年4月26日 袁晓亮 猎聘网 架构中间件负责人 互联网技术联盟 ITA1024讲师团成员 本篇文章整理自袁晓亮4月26日在
flume kafka sink
Felix_CB的博客
03-09 1083
# 指定Agent的组件名称 a1.sources = r1 a1.sinks = k1 a1.channels = c1 # 指定Flume source(要监听的路径) a1.sources.r1.type = spooldir a1.sources.r1.spoolDir = /opt/dir #每行读取的大小限制 a1.sources.r1.deserializer.maxLine...
使用flume将数据sink到kafka
weixin_30364147的博客
05-28 343
flume采集过程: #说明:案例是flume监听目录/home/hadoop/flume_kafka采集到kafka; 启动集群 启动kafka, 启动agent,flume-ng agent -c . -f /home/hadoop/flume-1.7.0/conf/myconf/flume-kafka.conf -n a1 -Dflume.root.logger=INFO...
整合flume+elasticsearch+kafka+kibana实现日志收集
weixin_43131085的博客
08-28 3011
整合flume+elasticsearch+kafka+kibana实现日志收集 目标:通过整合flume+elasticsearch+kafka+kibana搭建简单模型,实现对中间件的日志 设备: 五台linux环境主机:99.47.148.238,99.47.148.239,99.47.148.240,99.47.148.242,99.47.148.149 架构: > 整合flume+elasticsearch+kafka+kibana实现日志收集 > 描述:
整合FlumeKafka与Storm的大数据解决方案
"大数据解决方案——FlumeKafka、Storm整合" 在大数据处理中,整合FlumeKafka和Storm是一个常见的实时数据流处理架构。这三个工具各司其职,共同构建了一个高效、可靠的数据处理链路。以下是这些工具的详细说明...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值