ELK收集MySQL SlowLog(Filebeat .KO. Logstash )【实操系列】

最新推荐文章于 2024-04-15 04:06:54 发布
最新推荐文章于 2024-04-15 04:06:54 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: ELK 腾讯云
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shen2308/article/details/104451765
版权

文章目录

故事背景

1. 需求

收集腾讯云MySQL实例的慢查询,并展示

2. 问题拆解

  1. 调用腾讯云API接口拉取slowlog文件
  2. 使用LogstashFilebeat收集慢查询

3. 难点/处理方法

难点

每次拉取慢查询只能是全量拉取

本人编程能力比较差,仅仅提供粗糙的处理方式

处理方法

腾讯云的API并不会下载慢查询文件,只会打印文件大小,下载地址等信息

# 当前存在这三个文件
slcur:当前最新慢查询日志
sl2elk:最终会被elk采集的慢查询日志(可以认为是跟slcur数据保持一致)。
slold:始终是上一个版本的慢查询日志

# 调用API获取当前慢查询日志文件大小
if slcur_size > sl2elk_size: # 如果当前慢查询大小比sl2elk的大,则说明需要更新(此时并没有真正下载最新的慢查询日志)
   mv slcur slold # 将当前的慢查询移动到存放老版本的文件夹中
   wget slcur # wget重新获取最近的慢查询日志
   num=`cat slold | wc -l` # 从老版本慢查询日志中慢查询的条数
                     # 此时的slcur是比sl2elk完整的,所以要将差异的部分追缴到sl2elk中
   sed -n "$num,$p" slcur >> sl2elk # 追加差异部分日志到sl2elk中

可能有点2,希望得到大佬们的指导,谢谢。

ELK收集MySQL SlowLog

Elasticsearch、Kibana的安装部署不做赘述,重点放在Logstash和Filebeat

方案一:Logstash收集

input {
  file {
    type => "xxxx"
    path => "/PATH/slowlog_20200204.log"
    start_position => beginning
    codec => multiline {
      pattern => "^# User@Host:"
      negate => true
      what => "previous"
    }
  }
}
filter {
  grok {
    match => ["message","(?m)^#\s+User@Host:\s+%{USER:user}\[[^\]]+\]\s+@\s+(?:(?<clienthost>\S*) )?\[(?:%{IPV4:clientip})?\]\s+Id:\s+%{NUMBER:row_id:int}\n#\s+Query_time:\s+%{NUMBER:query_time:float}\s+Lock_time:\s+%{NUMBER:lock_time:float}\s+Rows_sent:\s+%{NUMBER:rows_sent:int}\s+Rows_examined:\s+%{NUMBER:rows_examined:int}\n\s*(?:use %{DATA:database};\s*\n)?SET\s+timestamp=%{NUMBER:timestamp};\n\s*(?<sql>(?<action>\w+)\b.*;)\s*(?:\n#\s+Time)?.*$"]
  }
  date {
    match => ["timestamp","UNIX","YYYY-MM-dd HH:mm:ss"]
    remove_field => ["timestamp","_index","host","path","row_id","tags","_type"]
  }
}
output {
  stdout {
    codec=> rubydebug{}
  }
  elasticsearch {
    hosts => ['localhost:9200']
    index => "mysql-slowlog"
  }
}

基本就是这样了,注意点就是grok部分写的有点挫。
另外,默认启动占用的资源是1G内存,有点大,可以修改配置:
6.x版本的是在

grep -Ev "^#|^$" jvm.options
-Xms128m
-Xmx128m
-XX:+UseParNewGC
-XX:+UseConcMarkSweepGC
-XX:CMSInitiatingOccupancyFraction=75
-XX:+UseCMSInitiatingOccupancyOnly
-Djava.awt.headless=true
-Dfile.encoding=UTF-8
-Djruby.compile.invokedynamic=true
-Djruby.jit.threshold=0
-XX:+HeapDumpOnOutOfMemoryError
-Djava.security.egd=file:/dev/urandom

7.x版本是在

➜  logstash-7.5.1 grep -Ev "^#|^$" config/jvm.options
-Xms1g
-Xmx1g
-XX:+UseConcMarkSweepGC
-XX:CMSInitiatingOccupancyFraction=75
-XX:+UseCMSInitiatingOccupancyOnly
-Djava.awt.headless=true
-Dfile.encoding=UTF-8
-Djruby.compile.invokedynamic=true
-Djruby.jit.threshold=0
-Djruby.regexp.interruptible=true
-XX:+HeapDumpOnOutOfMemoryError
-Djava.security.egd=file:/dev/urandom
-Dlog4j2.isThreadContextMapInheritable=true

当启动到4-5个的时候,机器内存已经扛不住了。无奈

方案二:Filebeat收集

使用filebeat其实不用我们再去写grok,往往自己写的比较业余,可以直接使用帮我们写好的module,如下,非常全的吧

➜  module ls
apache        aws           cisco         envoyproxy    ibmmq         iptables      logstash      mssql         netflow       panw          redis         system
apache2       azure         coredns       googlecloud   icinga        kafka         misp          mysql         nginx         postgresql    santa         traefik
auditd        cef           elasticsearch haproxy       iis           kibana        mongodb       nats          osquery       rabbitmq      suricata      zeek

我们重点看下mysql相关的,
filebeat比较完善,可以收集errlog和slowlog

tree mysql/
mysql/
├── error
│   ├── config
│   │   └── error.yml
│   ├── ingest
│   │   └── pipeline.json
│   └── manifest.yml
├── module.yml
└── slowlog
    ├── config
    │   └── slowlog.yml
    ├── ingest
    │   ├── pipeline.json
    │   └── _tmp
    │       └── pipeline.json
    └── manifest.yml

7 directories, 8 files

激活mysql模块报错

➜  filebeat-7.5.2-darwin-x86_64 ./filebeat modules enable mysql

其实无所谓的,单机启动多个filebeat配置文件没问题,这个都无所谓

配置文件

 cat  name_1.yml
filebeat.config.modules:
  path: /PATH/mysql_1.yml # 这个是filebeat的模版文件
  reload.enabled: true
  reload.period: 10
output.elasticsearch:
  hosts: ["localhost:9200"]
  index: "mysqlslowlogs"
setup.template.name: "mysqlslowlogs"
setup.template.pattern: "mysqlslowlogs*"
setup.template.enabled: false
setup.template.overwrite: true

修改模块

# cat /PATH/mysql_1.yml
- module: mysql
  error:
    enabled: false

  slowlog:
    enabled: true
    var.paths: ["/PATH/mysqlslowlog.log"]

启动filebeat

/bin/filebeat -c /PATH/name_1.yml --path.data=/PATH/name_1_data -e

以上操作调通之后,就可以放心的部署多filebeat了。当然忘不了我们的supervisorctl

supervisor配置Demo

# cat supervisor_demo.ini
[program:name_1]
command = /bin/nohup /bin/filebeat -c /PATH/name_1.yml --path.data=/PATH/name1_data -e
autostart = true
startsecs = 5
autorestart = true
startretries = 3
user = root
redirect_stderr = true
stdout_logfile_maxbytes = 20MB
stdout_logfile_backups = 20
stdout_logfile = /var/log/supervisor/supervisor-name1.log

现在集群跑了36个,问题不大

# supervisorctl status | wc -l
36

踩坑链接

写的比较粗糙,很多东西都没详细记录,以后再说吧。
在这里插入图片描述

ttldba
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
elasticsearch+logstash+kibana+filebeat.7z (ELK 7.9.0)
04-25
本压缩包内包含:Elasticsearch+Logstash+Kibana+Filebeat(ELK全部7.9.0版本)
Centos7 docker-compose安装ELK+Filebeat.zip
10-16
Centos7 docker-compose安装ELK+Filebeat.zip 存放这里,让大家下载快捷一点
【20180417】ELK日志管理之filebeat收集分析mysql慢日志
weixin_33897722的博客
04-17 598
环境版本 filebeat: 6.2.3mysql: 5.6.38 错误信息 { "_index": "mysql-slow-2018.04.17", "_type": "doc", "_id": "AWLRiDqYhjFMCbqrK5ez", "_version": 1, "_score": null, "_source": { "@timestamp": "20...
PHP慢日志 ELK+FileBeat收集
很长很长的专栏
05-02 3554
本文主要讲述的是php慢日志收集至elasticsearch 收集流程: 本文不提供安装教程 主要配置: Filebeat配置 filebeat 涉及多行配置所以要使用 multiline pattern:正则表达式 negate:true 或 false;默认是false,匹配pattern的行合并到上一行;true,不匹配pattern的行
ELK logstash 处理MySQL慢查询日志_logstash 解析慢日志
最新发布
2401_84248479的博客
04-15 762
ELK logstash 处理MySQL慢查询日志 : https://mp.weixin.qq.com/s/ii1mu18WazEHezRMQImfwA。来源:http://www.ttlsa.com/elk/elk-logstash-process-mysql-slowlog/关键之重是grok正则的配置。
ELK收集分析处理mysql slowlog
qq_37256882的博客
12-28 343
这篇文章没有涉及ELK程序的安装,重点关注于以下几个方面1,通过filebeat收集mysql-slowlog,并将slowlog的多行合并为一行2,logstash通过grok将slowlog处理为json格式3,通过kibana的dashboard展示数据。
一篇文章搞懂Filebeat
架构文摘
03-02 435
点击蓝色“架构文摘”关注我哟加个“星标”,每天上午 09:25,干货推送!本文使用的Filebeat是7.7.0的版本,文章将从如下几个方面说明:Filebeat是什么,可以用来干嘛Fil...
Logstash【从无到有从有到无】【L9】使用Filebeat模块
琴韵悠悠
09-01 793
使用Filebeat模块
实时监控MySQL慢查询
moresi的博客
05-25 3338
本小节我们将使用 promtail + loki + grafana 来实现MySQL慢查询的可视化。直接将慢查询的SQL语句显示在grafana中
17.ELK-filebeat模块功能收集mysql慢日志
JCWang的博客
07-20 1267
filebeat模块功能收集mysql慢日志 1.先开启filebeat模块功能 vim filebeat.yml.bak 复制到filebeat.yml下 path: ${path.config}/modules.d/*.yml #${path.config}代表的是/etc/filebeat/这段路径 reload.enabled: true #打开载入功能 reload.period: 10s
ELK原理讲解与收集MySQL慢日志实现
weixin_42460087的博客
08-04 1238
ELK 最早是 Elasticsearch(简称ES)、Logstash、Kibana 三款开源软件的简称,三款软件后来被同一公司收购,并加入了Xpark、Beats等组件,改名为Elastic Stack,成为现在最流行的开源日志解决方案,虽然有了新名字但大家依然喜欢叫ELK,现在所说的ELK就指的是基于这些开源软件构建的日志系统。一般大型系统是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,大部分情况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块。...
收集mysql慢查询日志进elk
山间明月江上清风的专栏
02-25 806
1,首先mysql开启慢查询日志 vim /etc/mysql/mysql.conf.d/mysqld.cnf #添加配置,这块目录可以自定义 slow_query_log = ON slow_query_log_file = /var/lib/mysql/slow_query.log long_query_time = 2 #然后重启mysql服务 service mysqld resta...
Centos7搭建ELK+filebeat.docx
08-24
Centos7搭建ELK+filebeat,公司现用体系架构,解决了开发没有权限查看线上日志的情况,
ELK7.1.1+FileBeat 收集日志.pdf
07-22
基础ElasticSearch7.1.1版本搭建日志收集框架;采用FileBeat采集log日志,通过logstash过滤后导入ES
ELK学习笔记.docx elasticsearch logstash kibana 环境搭建开发
02-03
ELK学习笔记.docx elasticsearch logstash kibana 环境搭建开发
ELK收集mysql_slow.log
weixin_34010566的博客
08-24 330
关于慢查询的收集及处理也耗费了我们太多的时间和精力,如何在这一块也能提升效率呢?且看本文讲解如何利用ELK做慢日志收集ELK 介绍 ELK 最早是 Elasticsearch(以下简称ES)、Logstash、Kibana 三款开源软件的简称,三款软件后来被同一公司收购,并加入了Xpark、Beats等组件,改名为Elastic Stack,成为现在最流行的开源日志解决方案,虽然有了新名字...
ELK收集MySQL慢日志
wokuailewozihao的专栏
03-04 4153
ELK6.6.1+FileBeat6.6.1收集mysql慢日志 一、elk简单介绍 1、之前常说的elk,现已被官方整合为Elastic Stack,官网地址(https://www.elastic.co/cn/products),官网给出的架构如下,其中Beats是一系列轻量级日志收集器,ELK中E指Elasticsearch,L指Logstash,K指Kibana: 其中各个产品...
利用filebeat推送mysql慢查询日志
weixin_34238633的博客
04-21 1988
介绍通过利用filebeat收集mysql的慢查询日志,logstash解析后推送到elasticsearch,并创建自定义的索引,最终通过kibana进行web展示。环境介绍:操作系统版本:CentOS Linux release 7.3.1611 (Core) 64bitMysql版本: 5.6.28Logstash版本: logstash 5.3.0Elasticse...
linux elk filebeatlogstash
04-30
ELK是指Elasticsearch、Logstash和Kibana,是一套常用的开源日志分析解决方案。FilebeatLogstashELK中的两个组件。 Filebeat是一个开源的日志数据收集器,它可以帮助我们从各种源(如文件、系统日志等)中收集日志数据,并将其传输到指定的目的地(如Elasticsearch或Logstash)。Filebeat的作用是将日志数据收集并送到Logstash或Elasticsearch等组件中进行处理。 Logstash是一个开源的数据收集引擎,它可以帮助我们从各种数据源(如文件、消息队列等)中收集数据,并将其转换成统一的格式。Logstash的作用是接收来自Filebeat等组件传来的日志数据,并对其进行处理、转换和过滤,然后将其发送到Elasticsearch中进行存储和分析。 总的来说,FilebeatLogstash都是ELK中用来收集和处理日志数据的组件,它们可以协同工作,提供可靠的数据收集和分析解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值