ELK+logstash配置日志报警

最新推荐文章于 2024-05-18 19:04:45 发布
最新推荐文章于 2024-05-18 19:04:45 发布
阅读量1.8k 收藏 6
点赞数 1
原文链接:https://www.jianshu.com/p/2c482a995f67
版权

需求

通过读取日志文件监控,过滤日志信息的异常关键词,如ERR,error,Failed,warning等信息,将这些带有异常关键词的异常日志信息过滤出来,然后输出到zabbix,通过zabbix告警机制实现触发告警,下面环境是filebeat作为采集端,最后由logsatsh拉取日志并过滤,输出到zabbix

2 客户端——tomcat日志格式统一

修改tomcat7 默认catalina .out运行日志格式【logging.properties】

vim /usr/local/tomcat1/conf/logging.properties
1catalina.org.apache.juli.FileHandler.level = FINE
1catalina.org.apache.juli.FileHandler.directory = ${catalina.base}/logs
1catalina.org.apache.juli.FileHandler.prefix = catalina.
#后面添加两行配置
1catalina.org.apache.juli.FileHandler.formatter = java.util.logging.SimpleFormatter
java.util.logging.SimpleFormatter.format = %1$tY-%1$tm-%1$td %1$tH:%1$tM:%1$tS,%1$tL %4$s %3$s %2$s %5$s %6$s%n
——————————
——————————

%1$tY-%1$tm-%1$td %1$tH:%1$tM:%1$tS,%1$tL %1$te %4$s %3$s %2$s %5$s %6$s%n

年               月          日         时        分         秒      毫秒     
注意:每个数字代表不同的日志内容,1代表时间,%1$tL是毫秒

修改tomcat8 默认catalina .out运行日志格式【logging.properties】

# vim /usr/local/tomcat/conf/logging.properties

#java.util.logging.ConsoleHandler.formatter = org.apache.juli.OneLineFormatter     #将其删除或者注释掉
添加下面两行配置,
1catalina.org.apache.juli.AsyncFileHandler.formatter = java.util.logging.SimpleFormatter
java.util.logging.SimpleFormatter.format = %1$tY-%1$tm-%1$td %1$tH:%1$tM:%1$tS,%1$tL %1$te %4$s %3$s %2$s %5$s %6$s%n

修改log4j日志格式

vim log4j.properties  修改为ISO8601
log4j.appender.file.layout.ConversionPattern=%d{ISO8601} %5p %c{1}:%L - %m%n

log4j日志格式参考:https://www.codejava.net/coding/common-conversion-patterns-for-log4js-patternlayout

3 客户端配置-filebeat

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /data/tomcat/apache-tomcat-8.0.24/logs/catalina.out
fields:
  env: 5pao-203     ##注意名称
 - drop_fields:
   fields: ["beat", "input", "source", "offset", "prospector"]
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false
  name: 192.168.1.203   ##注意名字
setup.template.settings:
  index.number_of_shards: 1
setup.kibana:
output.logstash:
  hosts: ["1.1.1.1:5044"]
processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~

4 ELK——logstash安装插件

如果我们将logstash收集的日志输出到zabbix告警,就必须要用到logstash-output-zabbix插件,通过这个插件将logstash与zabbix整合,logstash收集到的数据过滤出错误信息的日志输出到zabbix中,最后通过zabbix告警机制触发

cd /elk/logstash-7.4.0/bin
./logstash-plugin install logstah-output-zabbix

5 ELK——logstash配置文件

logstash启动多个配置文件方法
nohup ./bin/logstash -f config/conf.d/ >/dev/null 2>&1 &

filter {
    if [fields][env] == "5pao-203" { 
        ##增加zabbix需要的两个字段
        mutate {
               add_field => [ "[zabbix_key]", "oslogs" ]
               add_field => [ "[zabbix_host]", "192.168.1.203" ]
        }
        ##过滤日志,将没有日期的一条日志归到前一条
        multiline {
                 pattern => "^\d{4}-\d{1,2}-\d{1,2}\s\d{1,2}:\d{1,2}:\d{1,2}"
                 negate => true  
                 what => "previous"  
        }
       ##将message日志中的字符串时间格式转化成@timestamp - logstash
        grok {
            match => {
            "message" => "(?<datetime>\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2},\d{3})" }
         }
        date {
            match => ["datetime","yyyy-MM-dd HH:mm:ss,SSS"]
            target => "@timestamp"
        }
        
     }
    
}
##输出到zabbix
output{
       if [message]  =~ /(ERR|error|ERROR|Failed)/  {   
              zabbix {
                        zabbix_host => "[zabbix_host]"     
                        zabbix_key => "[zabbix_key]"       
                        zabbix_server_host => "2.2.2.2" 
                        zabbix_server_port => "9900"           
                        zabbix_value => "message" 
                        }
                    }
}

6 客户端配置-zabbix

注意:客户端机器连接不能使用PSK加密方式
1> 修改agent端

注释配置文件中psk加密部分并重启zabbix
vim /etc/zabbix/zabbix_agentd.conf
#psk encryption
#TLSConnect=psk
#TLSAccept=psk
#TLSPSKFile=/etc/zabbix/zabbix_agentd.d/zabbix_agentd.psk
##unique psk value
#TLSPSKIdentity=PSK VM_23_8_centos1576636711
service zabbix-agent restart

2>修改zabbix界面加密方式

在这里插入图片描述

7 zabbix创建监控模板

创建模板
在这里插入图片描述
创建应用集
在这里插入图片描述
在这里插入图片描述
创建触发器
在这里插入图片描述

{logstah-output-zabbix:oslogs.strlen()}>0

注意

zabbix注意触发器,监控的类型为日志|文本,不能是数字,否则会报错
我遇到的报错:zabbix 提供错误的项目值类型"数字 (无正负)"给触发器函数"strlen()"
zabbix触发器方法strlen - 支持类型
它支持类型包括:str, text, log

验证zabbix客户端
在tomcat日志中输入error日志,如

echo "Feb  4 11:44:20 izshvqfkb75a89z sshd[8549]: error: Received disconnect from 221.197.133.59: 0:  [preauth]">>/data/tomcat/apache-tomcat-8.5.50-crm/logs/catalina.out

在这里插入图片描述

8 报错

问题1:无法触发报警(是指zabbix端无法接收到logstash传输的log,界面不会显示)
logstash日志中报错:
cannot process item “oslogs” trap: connection from “10.50.20.3” rejected
zabbix server日志报错
1287:20200204:202522.748 connection of type “unencrypted” is not allowed for host “111.111.112.112”
原因:zabbix添加使用PSK加密方式,注意日志中的"unencrypted",去掉PSK加密
问题2:已经触发了报警但是无法发送邮件
没有发送出报警检查已经触发了,问题出现在没执行发送邮件的动作上,这个时候小伙伴就要重点关注下用户的权限以及动作的配置以及触发器的配置上了。
我这边重新修改了配置
在这里插入图片描述
以及
在这里插入图片描述
邮件就可以发送成功了
问题3
报警是触发了,可是你要是不手动确认它并不会再次发送邮件,所以收到报警需要小伙伴们手动确认下
在这里插入图片描述
在触发器中点击 Allow manual close,否则手动点击关闭是关闭不了的啊
在这里插入图片描述
参考: https://www.zabbix.com/documentation/4.0/zh/manual/config/events/manual_close
问题4
这个问题还没有解决,logstash配置文件中[host][name]不被识别,目前只能是填写IP,如果是多个客户端就写多个文件

add_field => [ "[zabbix_host]", "%{[host][name]}" ]

参考:> https://www.cnblogs.com/bixiaoyu/p/9665677.html
https://blog.csdn.net/miss1181248983/article/details/97130206

转载链接 :

ELK+logstash配置日志报警 :https://www.jianshu.com/p/2c482a995f67

寰宇001
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ELK日志系统搭建完整详细步骤
qq_39093474的博客
05-23 970
为什么需要引进这个ELK日志采集系统呢?
ELK 套件(ElasticSearch+Logstash+Kibana) TIG 套件(Telegraf+InfluxD
03-18
ELK 套件是由Elasticsearch、Logstash和Kibana三个组件组成的开源日志分析平台。Elasticsearch是一个高性能、分布式、全文搜索引擎,用于存储和检索大量结构化和非结构化的数据。Logstash则是一个数据收集和处理引擎...
logstash邮件报警功能实现
weixin_34104341的博客
04-07 476
配置文件内容:input{ stdin{ } } output{ email{ port=>"25" address=>"smtp.qq.com" username=>"18200340...
logstash 统计告警
weixin_33887443的博客
04-20 384
文章转自 https://www.cnblogs.com/stackflow/p/6071807.html
ELK 日志监控平台(二)- 优化日志格式
最新发布
AHAO的博客
05-18 1196
其实细心一点就会发现一个问题,输出到 ES 的日志格式一点也不友好,实际的应用日志信息都集中在message索引字段中,而且日志的实际输出时间也不是应用中打印日志的时间,而是输出到 ES 的时间。插件可以用来转换你的日志记录中的时间字符串,变成 LogStash::Timestamp 对象,然后转存到 @timestamp 字段里。一个良好的日志格式可以确保日志信息易于阅读、解析和分析,便于在日志分析和故障排查中发挥作用。仔细查看可知,输出的日志信息与预期一致,并且我们日志打印时间也和实际的时间一致。
常用prometheus告警规则模板
IT- 研究者
07-28 4739
应用类相关 1.监控应用是否可用 规则模板 : up=${value} 规则描述: 监测应用是否可用 参数说明: value:0表示宕机1表示可用 具体应用 groups: -name:example#报警规则组的名字 rules: -alert:InstanceDown#检测job的状态,持续1分钟metrices不能访问会发给altermanager进行报警 expr:up==0 for:1m#持续时...
Logstash日志处理-Logstash的使用
上官玺的博客
10-07 4051
日志可以协助我们的调试和开发。在开发中尽量使用日志的方式来调试,是我们推荐的做法。尽量避免使用System.out.println. 因为很多时候我们调试完毕都要进行删除调试代码。留下会给程序增加运行时间。而日志可以很方便的控制级别就可以控制是否输入,而支持存储的形态很多。比如数据库,文件等。所以日志是我们开发中必不可少的一环。如果级别是:debug ,debug和 info以及error都会输出如果级别是:info ,那么只会打印初:info和error。
ELK+kafaka日志集群项目.zip
08-09
ELK+kafka日志集群是现代企业级日志管理和分析的常见解决方案,它结合了Elasticsearch(存储和搜索)、Logstash(数据收集与处理)、Kibana(数据可视化)以及Kafka(消息中间件)的优势,提供了一套高效、可扩展的...
Centos7搭建ELK+filebeat.docx
08-24
ELK(Elasticsearch、Logstash、Kibana)是一个流行的日志分析和管理系统,它允许用户收集、处理、存储和可视化各种来源的日志数据。Filebeat作为轻量级的日志收集代理,常被用于与ELK结合,以提高效率和资源利用率...
资料包-最全ELK+项目【Elasticsearch Logstash Kibana】
07-14
Kibana还提供搜索、日志浏览、报警配置等功能,是Elastic Stack(以前称为ELK Stack)的重要组成部分。 【ELK Stack】 ELK Stack(Elasticsearch、Logstash、Kibana)是一个流行的开源日志管理和分析解决方案。通过...
elk或efk日志报警elastalert-docker安装-邮件或钉钉
06-29
ELK(Elasticsearch、Logstash、Kibana)或 EFK(Elasticsearch、Fluentd、Kibana)日志报警系统是目前非常流行的日志管理解决方案之一。Elastalert 是一个基于规则的报警系统,可以与 ELK 或 EFK集成,以提供实时的...
ELKF日志学习(十一)Logstash实现钉钉告警(莫当真)
IMJCW的博客
01-08 607
前言 本来不想写这篇文章的,奈何有人崇尚这个,顺带介绍一下,扩展一下思路。 代码仓库 talk-lucky/elkf-study 弊端 比如:当 499(HTTP 状态码) 在半小时内出现了 50 次,需要实现告警。 这种情况就不能自定义了,只能说,出现 499 就告警,这个很傻。 麻烦一点的解决方案 就是统计后,写入某一个日志文件,然后再根据来源来分辨是否发送告警。 好像有点傻… 毕竟,都已经统计了,直接告警就行,还要写日志,再通过 Logstash 发送告警,有点冗余。 至于怎么统计,好像有个 KSQL
ELK日志收集告警
woshiwjma956的博客
04-17 510
elk日志监控与告警
基于 ELK 与 ElaticAlert 搭建系统监控报警
艾希射日
08-29 5339
之前学习了通过 ELK 进行 Nginx 的日志收集与分析,有了日志之后我们就可以通过解析日志近实时的监控服务器的访问状态了。通常 Nginx 都是作为代理服务器进行使用的,当我们的应用服务因为某些原因挂掉时,Nginx 访问就会出现频繁 502 的情况,基于这一场景我们可以进行报警来及时提醒我们去解决问题。 本篇文章主要简单介绍下基于 ELK 实现监控的过程。 一. ELK 的安装 首先是...
logstash 监控海量日志报警
weixin_34202952的博客
05-18 541
logstash轻松过滤海量日志,研究下logstash的其它插件,可以轻松监控日志报警,爽歪歪了,直接附上脚本监控说明:1、sonp.phpson-server.php这两个URL小于100字节,状态码非200,报警 2、所有状态码非200,报警 3、所有请求超过10S,报警邮件本机配置postfix或者sendmail,监控脚本input{ red...
通过Sentinl插件实现ELK日志系统的错误信息报警
向心行者
07-28 1735
1、目标   通过安装配置Sentinal插件,实现当错误日志中出现“error”字符串时,就发送报警信息,并发送到钉钉的工作群中。让运维人员可以快速去排查系统问题,方便问题发现,提高系统用户体验。这里只是简单实现了出现“error”字符就报警,可以配置复杂的条件,实现更高级的报警条件。 2、准备工作 1、 钉钉机器人配置 参考《自定义机器人webhook》,这里使用了markdown类型的消息格式。 配置好机器人后,主要使用webhook链接,进行消息推送,所以需要保存下来该链接及其相关信息。 2、
ELK日志处理
fang.lovest.yang的博客
07-17 4045
Linux ELK初体验 ELK实际上是三个工具,Elastricsearch + LogStash + Kibana,通过ELK,用来收集日志还有进行日志分析,最后通过可视化UI进行展示。一开始业务量比较小的时候,通过简单的SLF4J+Logger在服务器打印日志,通过grep进行简单查询,但是随着业务量增加,数据量也会不断增加,所以使用ELK可以进行大数量的日志收集和分析。 安装步骤:Spring Boot 搭建 ELK,这才是正确看日志的方式! 注意问题: 1.配置JDK...
ELK基于ElastAlert实现日志的微信报警
yang的博客
03-31 1519
ELK基于ElastAlert实现日志的微信报警
ELK+zabbix+ding talk对日志实时监控报警
qq_55343342的博客
10-26 1362
Kibana:Kibana是一个数据分析和可视化平台,通常与Elasticsearch配合使用,用于对其中的数据进行搜索、分析,并且以统计图标的形式展示。Elasticsearch:Elasticsearch是一个高度可扩展的全文搜索和分析引擎,能够对大容量的数据进行接近实时的存储、搜索和分析操作。、logstash与Kibana开源软件的集合,对外作为一个日志管理系统的开源方案。它可以进行日志搜索、分析与可视化展示。LogstashLogstash是一个开源的用于收集、分析和存储日志的工具。
从部署elkelk企业微信报警
09-23
从部署ELKELK企业微信报警,可以按照以下步骤进行操作: 1. 部署所需环境: - 安装Elasticsearch,Logstash和Kibana。 - 配置Elasticsearch,Logstash和Kibana的基本设置。 2. 部署ElastAlert: - 下载并安装ElastAlert。 - 配置ElastAlert以连接到Elasticsearch集群。 3. 配置ElastAlert: - 创建一个ElastAlert的配置文件,并定义报警规则和输出方式。 - 配置ElastAlert以使用企业微信作为报警通道。 4. 使用微信报警: - 下载企业微信的SDK。 - 修改插件源码以支持企业微信报警。 - 申请企业微信账号并获取相关信息。 - 配置报警规则,指定企业微信作为报警通道。 - 运行ElastAlert并监控日志,当满足报警规则时,将通过企业微信发送报警消息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值