Logstash 只将 Java 错误日志写入 es 索引

最新推荐文章于 2024-04-20 16:00:42 发布
最新推荐文章于 2024-04-20 16:00:42 发布
阅读量845 收藏 3
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43584691/article/details/119422808
版权

由于研发即想要只包含 java 错误日志的信息,又想要其它正常日志的信息,所以就需要通过 logstash input 消费一个 kafka 主题,然后通过 output 写入两个 elasticsearch 的索引。

刚开始想法是通过条件判断将包含 “ERROR” 的日志写入一个索引,然后将其它信息写入一个索引。output 的配置如下:

output{
    if [message] =~ "ERROR" {
        elasticsearch {
            hosts => ["10.0.30.34:9200","10.0.30.35:9200","10.0.30.36:9200"]
            index => "errorlog-test"
            user => "elastic"
            password => "vlan30-elastic"
        }
    }

   elasticsearch {
       hosts => ["10.0.30.34:9200","10.0.30.35:9200","10.0.30.36:9200"]
       index => "alllog-test"
       user => "elastic"
       password => "vlan30-elastic"
   }
}

经过测试,发现这种情况下 logstash 向 elasticsearch 写入数据的速度很慢。

所以最后决定开启两个 logstash pipelines 来分别加载输出所有日志的配置文件和只输出 java 错误日志的配置文件。

·

配置文件如下所示:

PS: 我是通过 filter 将包含 “INFO” 的日志删除来实现的。

# 只输出 java 错误日志的配置文件
input{
    kafka {
        bootstrap_servers => "10.0.30.31:9092,10.0.30.32:9092,10.0.30.33:9092"
        topics => "wpf-test-topic"
        group_id => "vlan30-errorlog"
        decorate_events => true
        consumer_threads => 3
        auto_offset_reset => "earliest"
        codec => "json"
    }
}

filter {
    # 删除包含 "INFO" 的日志
    if [message] =~ "INFO" {
        drop {}
    }

    #增加一个字段,计算 timestamp 8小时
    ruby {
        code => "event.set('timestamp', event.get('@timestamp').time.utc+8*60*60)"
    }

    #用 mutate 插件先转换为 string 类型,gsub只处理string类型的数据
    #再用正则匹配,最终得到想要的日期
    mutate {
        convert => ["timestamp", "string"]
        gsub => ["timestamp", "T([\S\s]*?)Z", ""]
        gsub => ["timestamp", "-", "."]
   }
}

output{
    if [fields][project] == "wpf-test"{
        elasticsearch {
            hosts => ["10.0.30.34:9200","10.0.30.35:9200","10.0.30.36:9200"]
            index => "errorlog-wpf-test-%{timestamp}"
            user => "elastic"
            password => "vlan30-elastic"
        }
    }
}

·

# 输出所有日志的配置文件
input{
    kafka {
        bootstrap_servers => "10.0.30.31:9092,10.0.30.32:9092,10.0.30.33:9092"
        topics => "wpf-test-topic"
        group_id => "vlan30-logstash"
        decorate_events => true
        consumer_threads => 3
        auto_offset_reset => "earliest"
        codec => "json"
    }
}

filter {
    #增加一个字段,计算 timestamp 8小时
    ruby {
        code => "event.set('timestamp', event.get('@timestamp').time.utc+8*60*60)"
    }

    #用 mutate 插件先转换为 string 类型,gsub只处理string类型的数据
    #再用正则匹配,最终得到想要的日期
    mutate {
        convert => ["timestamp", "string"]
        gsub => ["timestamp", "T([\S\s]*?)Z", ""]
        gsub => ["timestamp", "-", "."]
   }
}

output{
    if [fields][project] == "wpf-test"{
        elasticsearch {
            hosts => ["10.0.30.34:9200","10.0.30.35:9200","10.0.30.36:9200"]
            index => "log-wpf-test-%{timestamp}"
            user => "elastic"
            password => "vlan30-elastic"
        }
    }
}

·

附加:一个 Logstash 加载多个配置文件

参考的是 Elastic 中国社区官方博客的文章。在 Logstash 的 config 目录下有一个 pipelines.yml 配置文件,可以通过它来实现。关于它的一些信息可以参考官方文档的解释

PS: 一个 pipeline 含有一个逻辑的数据流,它从 input 接收数据,并把它们传入到队列里,经过 worker 的处理,最后输出到 output。

#如下是一个 pipleline 加载一个配置文件
- pipeline.id: wpf-test
  pipeline.workers: 1
  pipeline.batch.size: 1
  path.config: /usr/local/logstash-7.9.1/config/conf.d/wpf-test-logstash.conf

- pipeline.id: wpf-test-errorlog
  pipeline.workers: 1
  pipeline.batch.size: 1
  path.config: /usr/local/logstash-7.9.1/config/conf.d/wpf-test-errorlog.conf

# pipeline.id:管道名称
# pipeline.workers:此管道的工作线程数
# pipeline.batch.size:单个工作线程从输入中收集的最大事件数
# path.config:此管道要加载的配置文件路径

·

启动时要注意:当不带参数启动 Logstash 时,它将读取 pipelines.yml 文件并实例化文件中指定的所有管道。当您使用 -e or -f 时,Logstash 会忽略该 pipelines.yml 文件并记录有关它的警告。

panbuhei
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash5.6.1向es导入oracle数据库数据
09-29
5. **Elasticsearch索引管理**:导入数据时,你可能需要预先在Elasticsearch中创建相应的索引,并设置映射(mapping),以确保数据能够正确解析和存储。 6. **性能优化**:考虑使用Logstash的批量处理和调度选项来...
logstash采集数据到es
我的祖传代码
04-26 6390
日志格式: {"Q1":62442457475833333,"Q2":2016811232228686,"date":1556186700487} logstash配置文件: input { kafka { zk_connect => "localhost:2181" group_id => "test" topic_id => "test"...
elk中logstash的使用
ApexPredator的博客
07-02 844
elk中logstash的使用
ELK---logstash收集日志tomcat,java,nginx,2024年最新java支付相关的面试题
最新发布
2401_84412582的博客
04-20 388
关于分布式,限流+缓存+缓存,这三大技术(包含:ZooKeeper+Nginx+MongoDB+memcached+Redis+ActiveMQ+Kafka+RabbitMQ)等等。这些相关的面试也好,还有手写以及学习的笔记PDF,都是啃透分布式技术必不可少的宝藏。以上的每一个专题每一个小分类都有相关的介绍,并且小编也已经将其整理成PDF啦网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
ELK logstash收集nginx,java,redis,syslog日志到elasticsearch,kibana展示
weixin_42896216的博客
12-04 932
ELK logstash收集nginx,java,redis,syslog日志到elasticsearch,kibana展示
22.ELK-部署logstash来取日志并转发给ES
JCWang的博客
07-20 1235
部署logstash来取日志并转发给ES 下载logstash安装包,存放到/opt/es-software目录 下载地址:https://mirrors.tuna.tsinghua.edu.cn/elasticstack/yum/elastic-6.x/6.6.0/ logstash量级比filebeat重,而且比较吃内存,所以日常收集日志的工作交给filebeat来处理 安装logstash rpm -ivh logstash-6.6.0.rpm 添加一个配置文件 cd /etc/logstash/c
logstash java插件_[logstash-input-log4j]插件使用详解
weixin_39528289的博客
02-13 210
Log4j插件可以通过log4j.jar获取Java日志,搭配Log4j的SocketAppender和SocketHubAppender使用,常用于简单的集群日志汇总。最小化的配置input {log4j {host=>"localhost"port=>4560}}output {stdout {}}log4j插件配置host以及port就能监听localhost上的4560端口的l...
nginx日志导入elasticsearch的方法示例
09-29
Logstash解析日志,将其转换为结构化的JSON格式,然后将结果写入Elasticsearch。Elasticsearch是一个分布式搜索引擎,能够快速存储、搜索和分析大量数据。 在Elasticsearch中,数据会被自动创建索引,便于查询。...
elasticsearch+kibana+logstash ELK资料整理
05-11
Logstash 是一个数据收集和处理管道工具,它可以从各种来源(如日志文件、数据库等)收集数据,然后通过过滤器进行清洗、转换,最后将处理后的数据发送到存储系统(如 Elasticsearch)。Logstash 的关键特点有: 1....
资料-Java日志.zip
12-27
在大型系统中,日志数据可能需要通过ELK(Elasticsearch, Logstash, Kibana)堆栈、Graylog等工具进行集中收集索引和分析,以便进行故障排查和系统监控。 9. **日志安全** 除了技术层面,日志还涉及安全问题。...
elasticsearch and logstash版本6.2.4同步mysql
04-26
在集成MySQL的过程中,我们需要使用Logstash的`jdbc`输入插件来读取MySQL数据,然后通过Elasticsearch输出插件将数据写入Elasticsearch。以下是具体步骤: 1. **安装Elasticsearch**:解压 `elasticsearch-6.2.4....
配置logstash收集java日志
Think++
03-09 3416
0.默认已经安装了ELK,并已经成功运行。如需安装,请移步此处。 #请将文中所有的ip地址换成你的主机ip地址 1.修改配置文件 #新建配置文件 sudo vim /etc/logstash/conf.d/java.conf #添加以下配置 input{ file{ path=>"/var/log/elasticsearch/elasticsearch.log" ...
Logstash - 插件开发JAVA版 - 自己编写输出插件
Ming_Mi的博客
09-29 1838
业务需求:因为公司内部需要一个读取日志文件的ERROR错误并发送内部邮件读取文件跟发送邮件的插件Logstash自身就有,但是我的需求是发送内部邮件,需要提供身份跟内部邮箱链接建议阅读前先了解Logstash的基本使用。
Logstash系列之--JAVA自定义插件
m0_37911384的博客
03-31 3389
Logstash系列之--自定义插件(JAVA) 说明 官方文档:https://www.elastic.co/guide/en/logstash/7.2/java-filter-plugin.html 安装版本:7.2.0 1、拉取logstash对应版本代码 git clone --branch v7.2.0 --single-branch https://github.co...
解决logstash1.4.2在windows上文件源读会对文件进行锁定的问题
知行合一
02-15 1247
解决logstash1.4.2在windows上文件源读会对文件进行锁定的问题 从github上下载useJavatoOpenFile    https://github.com/edwinf/ruby-filewatch/tree/useJavatoOpenFile wget https://github.com/jordansissel/ruby-filewatch/archive/mas
ELK学习笔记之Logstash和Filebeat解析对java异常堆栈下多行日志配置支持
dearbaba_11的博客
06-21 318
ELK学习笔记之Logstash和Filebeat解析对java异常堆栈下多行日志配置支持
Logstash采集数据到ES
qq_42282792的博客
07-25 1848
一、使用Logstatsh采集数据库数据到ES 1.环境搭建和工具准备 (1)es环境搭建 参考:https://editor.csdn.net/md/?articleId=107477555 (2)MySQL数据库环境准备 (3)准备Logstatsh工具 本次使用版本为:logstash-6.4.3.tar.gz,包括es版本也是使用的6.4.3 (4)Linux环境准备 (5)准备MySQL驱动包 本次使用版本为:mysql-connector-java-5.1.41.jar,最好跟数据库版本对应 (
logstash配置不同类型日志写到不同索引
qq_41214487的博客
09-02 5038
前言 日志统一规范化方便开发人员查看日志和排查问题,在进行容器化部署时,例如k8s内的日志查询,通常是用于运维层面进行查看日志的,而开发人员需要一套属于自己的日志工具。 方案一:普罗米修斯那套,包括洛基(日志收集),Grafana可视化。比较轻量级而且与k8s兼容友好,在此不介绍,自行百度 方案二:有钱上收费,类似阿里的sls等 方案三:elk,这里介绍elk 一、项目开发日志规范 首先保证以下几点: 1、日志格式json,方便格式化 2、运维层面日志清洗阶段 3、logstash基于jv
Logstash 导入数据到 ES
weixin_49818933的博客
07-01 2823
安装后的日志文件目录 /var/log/logstash-stdout.log /var/log/logstash-stderr.log 导入的设置文件路径 /etc/logstash/conf.d ORACLE转ES 使用 logstash-input-jdbc 插件读取 oracle 的数据,这个插件的工作原理比较简单,就是定时执行一个 sql,然后将 sql 执行的结果写入到流中,增量获取的方式没有通过 binlog 方式同步,而是用一个递增字段作为条件去查询,每次都记录当
logstash索引按月分
08-08
要将 Logstash 索引按月分,你可以使用 Elasticsearch 的索引别名和索引模板来实现。下面是一些步骤可以帮助你完成这个任务: 1. 创建一个索引模板:首先,你可以创建一个索引模板来定义索引的设置和映射。在该模板...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值