filebeat采集应用程序日志和多行匹配

已于 2025-01-06 15:35:53 修改
阅读量1.6k 收藏 8
点赞数 21
分类专栏: ElasticStack 文章标签: 云原生 elasticsearch
于 2025-01-02 23:59:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73797346/article/details/144897656
版权

1 filebeat采集nginx json日志

01 修改nginx的日志为json格式

elk93节点安装nginx,注释掉默认的nginx日志格式:# access_log /var/log/nginx/access.log;,在下方增加以下配置。然后重启nginx

修改 /etc/nginx.conf,找到日志格式记录相关配置(略)

log_format wzy_nginx_json '{"@timestamp":"$time_iso8601",'
                            '"host":"$server_addr",'
                            '"clientip":"$remote_addr",'
                            '"SendBytes":$body_bytes_sent,'
                            '"responsetime":$request_time,'
                            '"upstreamtime":"$upstream_response_time",'
                            '"upstreamhost":"$upstream_addr",'
                            '"http_host":"$host",'
                            '"uri":"$uri",'
                            '"domain":"$host",'
                            '"xff":"$http_x_forwarded_for",'
                            '"referer":"$http_referer",'
                            '"tcp_xff":"$proxy_protocol_addr",'
                            '"http_user_agent":"$http_user_agent",'
                            '"status":"$status"}';

02 配置filebeat采集nginx日志

cat > 07-nginx-to-es.yaml <<EOF
filebeat.inputs:
- type: log
  paths:
    - /var/log/nginx/access.log
  # 将message的json格式解析后放在顶级字段中,而不是放到message字段中
  json.keys_under_root: true

output.elasticsearch:
  hosts: 
  - "http://10.0.0.91:9200"
  - "http://10.0.0.92:9200"
  - "http://10.0.0.93:9200"
  index: "zhiyong18-luckyboy-log-nginx"

setup.ilm.enabled: false
setup.template.name: "zhiyong18-luckyboy"
setup.template.pattern: "zhiyong18-luckyboy-log*"
setup.template.overwrite: false
setup.template.settings:
  index.number_of_shards: 5
  index.number_of_replicas: 0
EOF

可视化

在这里插入图片描述

过滤状态码

在这里插入图片描述

过滤状态码为200且域名是 pc.wzy666.com

domain :"pc.wzy666.com and status : "200"

03 根据nginx访问日志绘制dashboard

1 绘制单个指标

保存

在这里插入图片描述

IP统计

在这里插入图片描述

统计UV(带宽流量)

在这里插入图片描述

在这里插入图片描述

2 把指标制作为仪表盘

创建仪表盘时,导入库中的制作好的图

在这里插入图片描述

在这里插入图片描述

2 filebeat采集tomcat日志

01 tomcat部署和配置

1.elk93节点下载tomcat,配置JDK借用elasticsearch的自带的JDK,并加载环境变量

cat > /etc/profile.d/tomcat.sh <<EOF
#!/bin/bash
export JAVA_HOME=/usr/share/elasticsearch/jdk
export TOMCAT_HOME=/app/apache-tomcat-10.1.25
export PATH=$PATH:$JAVA_HOME/bin:$TOMCAT_HOME/bin
EOF

2.设置tomcat的访问日志为json格式,修改conf/server.xml,删除143到159行

          <Host name="tomcat.zhiyong18.com"  appBase="webapps"
                unpackWARs="true" autoDeploy="true">

		<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
            prefix="tomcat.oldboyedu.com_access_log" suffix=".json"
pattern="{&quot;clientip&quot;:&quot;%h&quot;,&quot;ClientUser&quot;:&quot;%l&quot;,&quot;authenticated&quot;:&quot;%u&quot;,&quot;AccessTime&quot;:&quot;%t&quot;,&quot;request&quot;:&quot;%r&quot;,&quot;status&quot;:&quot;%s&quot;,&quot;SendBytes&quot;:&quot;%b&quot;,&quot;Query?string&quot;:&quot;%q&quot;,&quot;partner&quot;:&quot;%{Referer}i&quot;,&quot;http_user_agent&quot;:&quot;%{User-Agent}i&quot;}"/>
          </Host>

在这里插入图片描述

3.启动tomcat

catalina.sh start

4.在Windows或linux主机上添加host记录,访问:http://tomcat.zhiyong18.com:8080

curl -H 'HOST: tomcat.zhiyong18.com' 10.0.0.93:8080

5.查看tomcat的访问日志为json格式

[root@elk93~]# tail -2 /app/apache-tomcat-10.1.25/logs/tomcat.zhiyong18.com_access_log.2024-11-16.json 
{"clientip":"10.0.0.253","ClientUser":"-","authenticated":"-","AccessTime":"[16/Nov/2024:17:38:58 +0000]","request":"GET /asf-logo-wide.svg HTTP/1.1","status":"200","SendBytes":"27235","Query?string":"","partner":"http://tomcat.zhiyong18.com:8080/tomcat.css","http_user_agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/112.0"}
{"clientip":"10.0.0.253","ClientUser":"-","authenticated":"-","AccessTime":"[16/Nov/2024:17:38:58 +0000]","request":"GET /favicon.ico HTTP/1.1","status":"200","SendBytes":"21630","Query?string":"","partner":"http://tomcat.zhiyong18.com:8080/","http_user_agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/112.0"}

02 部署filebeat采集tomcat日志

1.elk93节点执行该filebeat配置文件

cat > 08-tomcat-to-es.yaml <<EOF
filebeat.inputs:
- type: log
  paths:
    - /app/apache-tomcat-10.1.25/logs/tomcat.zhiyong18.com_access_log*.json
  json.keys_under_root: true

output.elasticsearch:
  hosts: 
  - "http://10.0.0.91:9200"
  - "http://10.0.0.92:9200"
  - "http://10.0.0.93:9200"
  index: "zhiyong18-luckyboy-log-tomcat"

setup.ilm.enabled: false
setup.template.name: "zhiyong18-luckyboy"
setup.template.pattern: "zhiyong18-luckyboy-log*"
setup.template.overwrite: false
setup.template.settings:
  index.number_of_shards: 5
  index.number_of_replicas: 0
EOF

2.创建索引模式后,在 analysis --> discover 查询对应日志

在这里插入图片描述

3 filebeat多行匹配

4.3.1 ES官方多行匹配介绍

多行匹配官方文档

为什么需要多行匹配,java程序报错很有特点,基本上看到行首连续出现的 at ,然后往上看就能快速定位问题。就像下图:

在这里插入图片描述

1.先看图。ES官方介绍了4种多行匹配模式

multiline.negate

  • 描述:正则表达式匹配的行被视为前一行的延续或新多行事件的开始

  • 默认值:false

  • 如果设置为 true:匹配到的行作为一个事件的开始,不匹配的行会参与到多行合并

  • 如果设置为 false:匹配的行会参与到多行合并,反之不匹配的就作为一个事件的开始

在这里插入图片描述

2.方式1的匹配模式示例:java报错采集

提示:看懂官方的 mutiline.pattern 需要正则表达式基础

示例图在这里插入图片描述

  • multiline.negate: false,正则匹配到的 以空白字符开头的行,并不是新事件的开始,会参与到多行合并
  • multiline.match: after,表示将匹配到的行(以空白字符开头的行)附加到前一行(即事件行)的后面

3.示例

在这里插入图片描述

  • multiline.negate: true,正则匹配到的 以日期开头的行,是新事件的开始,其余的没有被正则匹配到会参与多行合并
  • multiline.match: after,非事件行放到事件行的后面

4.3.2 tomcat错误日志采集案例

1.修改tomcat的 server.xml 故意制造一点报错。先观察 catalina.out 的日志格式特点,发现只有2个数字开头和非2个数字开头

在这里插入图片描述

2.filebeat执行该配置:

cat > 09-tomcat_errlog-to-es.yaml <<EOF
filebeat.inputs:
- type: log
  paths:
    - /app/apache-tomcat-10.1.25/logs/catalina.out
  multiline:
    # 指定多行匹配的模式,支持pattern模式
    type: pattern
    # 指定匹配模式,事件行是2个数字开头的行,其余都参与合并
    pattern: '^\d{2}'
    negate: true
    match: after

output.elasticsearch:
  hosts: 
  - "http://10.0.0.91:9200"
  - "http://10.0.0.92:9200"
  - "http://10.0.0.93:9200"
  index: "zhiyong18-luckyboy-log-tomcat-errorlog"

setup.ilm.enabled: false
setup.template.name: "zhiyong18-luckyboy"
setup.template.pattern: "zhiyong18-luckyboy-log*"
setup.template.overwrite: false
setup.template.settings:
  index.number_of_shards: 5
  index.number_of_replicas: 0
EOF

3.创建索引模式后去查看

在这里插入图片描述

4 count多行匹配+input写入到不同的索引案例

需求:

  • input1是/tmp/xixi.log,写入到 zhiyong18-luckyboy-log-xixi-%{+yyyy.MM.dd} 索引
  • input2是TCP数据流,写入到 zhiyong18-luckyboy-log-haha-%{+yyyy.MM.dd}

思路:

给不同的input打上标签(tag),在 output.elasticsearch 判断标签,再匹配合适的索引

1.filebeat执行该文件

cat > 10-mutiple-to-es.yaml <<EOF
filebeat.inputs:
- type: log
  paths:
    - /tmp/xixi.log
  # 给数据打标签
  tags: xixi
  multiline:
    # 每4行才会看做1条文档
    type: count
    count_lines: 4

- type: tcp
  host: "0.0.0.0:9000"
  tags: haha

output.elasticsearch:
  hosts: 
  - "http://10.0.0.91:9200"
  - "http://10.0.0.92:9200"
  - "http://10.0.0.93:9200"
  # 根据tags字段判断将events事件写入到不同的索引
  indices:
  - index: "zhiyong18-luckyboy-log-xixi-%{+yyyy.MM.dd}"
    # 判断tags字段是否包含 xixi
    when.contains:
      tags: xixi
  - index: "zhiyong18-luckyboy-log-haha-%{+yyyy.MM.dd}"
    # 判断tags字段是否包含 haha
    when.contains:
      tags: haha

setup.ilm.enabled: false
setup.template.name: "zhiyong18-luckyboy"
setup.template.pattern: "zhiyong18-luckyboy-log*"
setup.template.overwrite: false
setup.template.settings:
  index.number_of_shards: 5
  index.number_of_replicas: 0
EOF

2.准备测试数据 /tmp/xixi.log,内容如下

name: wenzy
  hobby:
  - 博客
  - 唱歌
name: she
  hobby:
  - 跳舞
  - 钓鱼

TCP数据流数据如下:

[root@elk91~]# echo -e '1 \n 2 \n 3 \n 4 \n A \n B \n C \n D' | nc 10.0.0.93 9000

3.验证创建成功的2条索引。去 discover 查看内容

在这里插入图片描述

Filebeat 关键字多行匹配日志采集(multiline与include_lines)
weixin_33824363的博客
06-23 2373
很多同事认为filebeat采集日志不能做到多行处理,今天这里讨论下filebeat的multiline与include_lines。先来个案例,以下日志,我们只要求采集error的字段,2017/06/2211:26:30[error]26067#0:*17918connect()failed(111:Connectionrefused)whilec...
Filebeat 按照关键字匹配采集多行日志(实验详解)
BigManing的博客
08-10 3134
一、采集多行日志官方介绍 ### Multiline options # Multiline can be used for log messages spanning multiple lines. This is common # for Java Stack Traces or C-Line Continuation # The regexp Pattern that has to be matched. The example pattern matches all lines s
Filebeat收集nginx日志elasticsearch,最终在kibana做展示。
最新发布
yhl18931306541的博客
03-07 1058
将 一天或15分钟内 网站访问次数最多的10个IP 过滤出来,分析IP是否是攻击
Filebeat 多行日志匹配处理
王亚瑟的博客
04-18 3635
在使用 Filebeat 采集 Tomcat 日志时,因为默认采集是按照行采集的,在统计的时候会不准确,因此采用 multiline 进行处理。 根据业务日志级别情况,若日志级别是配成 ERROR ,只需要将错误日志进行合并处理,若日志级别低于 ERROR ,根据日志分析的要求,我这边会只将 带有 ERROR或者 WARN 的日志提取出来,就需要 include_lines 、exclud...
GPIB_Code
混沌的博客
12-21 3759
Avoid unnecessary use of *RST. Putting Multiple Commands on the Same Line ; *OPC (operation complete) sets bit 0 in the standard event status register when all operations are complete. /*Set the a
【运维知识大神篇】超详细的ELFK日志分析教程8(filebeat多行匹配+filestream替换log类型+ES集群修复脚本+ES集群加密+角色访问控制+ES集群配置HTTPS加密)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
12-01 1724
本篇文章给大家介绍filebeat多行匹配、filestream替换log类型、ES集群修复脚本、ES集群加密、角色访问控制、ES集群配置HTTPS加密,kibana与ES集群加密传输,kibana的HTTPS加密等内容
filebeat多行合并配置文件.txt
01-03
Filebeat能够有效地从服务器上采集日志文件,并将其发送至Elasticsearch或Logstash等后端系统进行进一步分析存储。在实际应用中,由于日志数据往往包含多行信息(如错误堆栈跟踪),如何正确地将这些信息合并成一...
Filebeat新手入门(二)多行合并
kele5589的博客
05-09 3079
Filebeat 日志数据采集分析
【ELK】Filebeat采集Docker容器日志
youmiqianyue的博客
12-17 1468
Filebeat采集docker日志
filebeat收集java程序多行报错
lt_xiaodou的博客
08-26 565
一个java程序报错往往是一个事件,这个报错并不是一行就能展示完的,几乎需要几十行才能展示完这个报错内容,对于filebeat来说,filebeat每次都是把一行看成了一个日志,那么对于java多行报错就不是很友好了,即使收集过来也是将一个事件的报错日志分成很多行在kibana上展示,这样对于开发人员来看日志就很头疼了如果对于多行报错的日志还用传统的收集方法,就像下图一样,完全不知道报错是什么了,不管谁看这个日志都需要去对比。...
FileBeat笔记(一)——安装采集Springboot日志
紫眸的博客
05-24 7938
1. 下载安装 # windows 下载,本文以windows命令演示 https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.6.2-windows-x86_64.zip # linux 下载 wget https://artifacts.elastic.co/downloads/beats/filebeat/file...
Filebeat处理多行换行的问题
~O~
03-01 1812
fillbeat处理多行日志问题
filebeat 把应用日志多行合并
qq_30029665的博客
03-26 1027
不知道大家使用 filebeat 收集日志的时候有没有遇到过这样的问题,在 kibana 上查看 ERROR 日志时时不完整的,明明错误日志是有很多行的,但是我们按关键字查询的时候,只有一行,这就让人很头疼了,查不出哥前因后果来。pattern: ‘^\d{4}-\d{1,2}-\d{1,2}’ #匹配到不以 xxxx-xx-xx 这样的时间格式开头的日志(正则表达式)处理日志的关键配置是,解释 匹配到不以 xxxx-xx-xx 这样的时间格式开头的日志,自动合并到上一行的末尾。
使用 Filebeat多行日志进行处理(multiline)
热门推荐
杂货铺子
11-09 1万+
Filebeat 收集日志的过程中,默认是按行收取的,也就是每一行都会默认是一个单独的事件并添加时间戳。但是在收集一些特殊日志的时候,往往一个事件包含有多行,例如 Java 的堆栈跟踪日志: 20-09-25 09:09:01.866 ERROR - {"traceId":"","where":{"methodName":"doFilter","className":"com.sohu.smc.channel.news.filter.ResponseTimeFilter","lineNumber":47},
filebeat收集不规则多行日志
工具人的博客
04-06 763
原先pipeline中grok的写法如下,并且已经在filebeat.yml将日志合并为单个事件,也无法在message中使用官方提供的。现环境有多行日志输出内容格式不确定,合并后使用grok默认正则无法收集,需要自己编写正则。最后将message字段修改成如下内容可以进行正确匹配匹配多行日志,个人认为是日志中有大量的。造成,会报错导致丢掉该条日志
filebeat合并多行日志
******* ▄︻┻┳═一 *******
10-30 7659
原文地址:https://www.elastic.co/guide/en/beats/filebeat/current/_examples_of_multiline_configuration.html 一、多行配置示例 1、将Java堆栈跟踪日志组合成一个事件 2、将C风格的日志组合成一个事件 3、结合时间戳处理多行事件 二、Java堆栈跟踪 1、Java示例一 Java堆栈跟踪由多行组成,...
filebeat管理java多行日志
Vv的博客
12-03 1468
一,前言 默认kibana显示的日志为分行,显示起来非常难看,使用filebeat合并java报错多行日志 二,配置 exclude_lines: ['HEAD'] exclude_lines: ['HTTP/1.1'] multiline.pattern: '^[[:space:]]+(at|\.{3})\b|Exception|捕获异常'...
Filebeat合并多行消息
小熊的专栏
04-25 2283
Filebeat收集的文件可能包含跨越多行文本的消息。例如,多行消息在包含Java堆栈跟踪的文件中很常见。为了正确处理这些多行事件,您需要multiline在filebeat.yml文件中配置设置以指定哪些行是单个事件的一部分。 如果要将多行事件发送到Logstash,请在将事件数据发送到Logstash之前,使用此处介绍的选项处理多行事件。尝试在Logstash中实现多行事件处理(例如,通过使用...
Filebeat配置module采集nginx日志
qq_28834355的博客
08-27 2293
环境 CentOS 7.3 Filebeat 7.6.0 (Filebeat安装基本使用参考这里) Elasticsearch 7.6.0 Nginx Module Filebeat集成了大量的module,可以简化我们的配置,命令如下 查看module列表 cd /usr/local/filebeat-7.6.0-linux-x86_64 ./filebeat modules list #输出如下: Enabled: Disabled: activemq apache auditd aws az
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值