ELK elasticsearch kibana 日志排序 之 日志二级排序

最新推荐文章于 2024-06-20 20:41:45 发布
置顶 最新推荐文章于 2024-06-20 20:41:45 发布
阅读量1w 收藏 4
点赞数 1
分类专栏: elk 文章标签: elasticsearch kibana filebeat sort
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011181610/article/details/82756049
版权

背景:之前搭建ELK时候经常听开发人员反馈说日志的数据和服务器的日志顺序不一致, 看日志给他们带来许多烦恼

问题分析:kibana向es(elasticsearch)发送请求的时候默认排序为@timestamp字段,然而@timestamp字段的精度是毫秒, 也就是说如果同一毫秒内输出多条日志则在kibana展示的日志就会出现和服务器日志不一致的问题。

解决方案:1 调整日志收集把时间精度调整到微妙,当时确实也尝试过,好像不太容易实现(如果读者有该解决方案可以留言)

                  2 让kibana展示日志除了@timestamp 排序外在加一个二级排序

方案实施:最终我选用了方案二, 方案说明:

                  我的采集器为filebeat, filebeat采集日志的时候会增加一个属性叫做offset字段, offset字段标识所读取日志的偏移量(行数), 方案二思路:让kibana请求es的时候除了基于@timestamp外在基于offset排序,那么如果让kibana基于offset做二次排序呢, 实现方式为:拦截kibana 发送到es的请求(_msearch)需改请求内容添加基于offset排序。如何拦截kibana请求报文呢?以下是我的实现方式可供参考:

实现方式一:我们生产环境的kibana是用到了ownhome插件 ,该插件其实就是一个代理服务,通过修改ownhome代码实现添加offset排序,修改如下:

  1.   打开own_home源码文件:vim {kibana_home}/plugins/own_home/server/proxy/modify_payload.js
  2. 添加如下脚本到该文件的  " function replaceRequestBody(body) { 下
  3. 重启kibana
  4. 搜索页面验证
 // Replace kibana.index in mget request body
    function replaceRequestBody(body) {


// add default secondary sort for kibana, sort by offset field, add by zhangyuming 

     try{
      if (request.path === '/_msearch'){
        let lines = body.split('\n');
        for(var i = 0; i < lines.length; i++){
          if(lines[i].length > 2){
                var tmp = JSON.parse(lines[i]);
                if( typeof(tmp) == "object"
                        && tmp.hasOwnProperty("sort") && tmp["sort"].length == 1
                        && typeof(tmp["sort"][0]) == "object" && tmp["sort"][0].hasOwnProperty("@timestamp")
                        && tmp["sort"][0]["@timestamp"]["order"] == "desc" ){

                        server.log(['plugin:own-home', 'debug'], '################ request.path: ' + i + '  : '+ lines[i]);
                        var offsetSort = JSON.parse("{\"offset\":{\"order\":\"desc\",\"unmapped_type\":\"boolean\"}}");
                        tmp["sort"][1] = offsetSort;

                        lines[i] = JSON.stringify(tmp);
                        body = lines.join("\n");
                        server.log(['plugin:own-home', 'debug'], '################ request.path: ' + body);
                }
          }

        }
      }
     } catch(err){
        server.log(['plugin:own-home', 'debug'], 'body add sort fail ' + body + '    : ' + err);
     }
// end default sort for kibana


      if (!request.path.endsWith('_mget')) {
        return new Buffer(body);
      }

 

实现方式二:我们测试环境没有用到ownhome插件,后来自己想了想写了代理用于修改kibana的报文的工具elsaticproxy。

项目地址: github_elasticproxy  https://github.com/zhangyuming/elasticproxy

使用方式:

  1.      下载elasticproxy工具 https://github.com/zhangyuming/elasticproxy/releases
  2.     启动 ./elasticproxy -elastic_home you_es_host:es_port  默认服务端口为8899
  3.      修改kibana的es指向指向elasticproxy的8899端口
  4.      验证排序

项目说明:目前该项目只实现了kibana的二级排序, 当然你也可以基于该项目实现其他代理功能例如日志脱敏等代理服务,

                  项目的开发方式我稍后会完善到github上

欢迎大家使用,或者PR

 

 

张-玉-明
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
kibana使用日志时间进行排序
weixin_30641465的博客
07-18 5996
kibana默认的是按照客户端的采集时间(@timestamp)进行排序,这往往不是我们所需要的,我们需要的是对日志实际时间进行排序,要解决这个问题,有很多种方法,可以在elasticsearch建立索引,不采取默认的索引模式,当然这种方法比较繁琐,需要懂得如何在elasticsearch建立索引及运用索引;今天我们主要研究的是另一种方法,通logstash的过滤插件将日志时间转换...
ELK架构之ElasticsearchKibana安装配置
02-25
ELK是三个开源软件的缩写,分别为:Elasticsearch、Logstash以及Kibana,它们都是开源软件。不过现在还新增了一个Beats,它是一个轻量级的日志收集处理工具(Agent),Beats占用资源少,适合于在各个服务器上搜集...
【linux】【ELK】利用elasticproxy对elasticsearch进行二次排序
09-23 443
做过elk的人应该了解kibana排序至支持到秒级别,但同一秒内出现多个日志的时候那么kibana展示的日志就会混轮,加上该代理可以解决该问题# 拉取elasticproxy镜像 [root@localhost ELK-filebeat]# docker pull zhangyuming/elasticproxy Using default tag: latest latest...
ElasticSearch学习笔记(一)倒排索引、ES和Kibana安装、索引操作
最新发布
挑灯日记 记录自己
06-20 1032
为此,IK分词器提供了强大的停用词功能,让我们在索引时就直接忽略停用词汇表中的内容。但根据关键词查询时,必须先逐条获取每个文档,然后判断文档中是否包含所需要的关键词,是。倒排索引结构虽然不复杂,但是一旦数据结构改变(比如改变了分词器),就需要重新创建倒排索引,这又是无法接受的。先查询倒排索引,再查询倒排索引,但是无论是词条、还是文档id都建立了索引,查询速度非常快,而无需全表扫描。但由于网络问题,拉取失败了。则相反,是先找到用户要搜索的词条,根据词条得到保存词条的文档的id,然后根据id获取文档,是。
SpringBoot日志原理,日志实现
suitianshuang
09-15 937
SpringBoot日志原理,日志实现 日志门面(日志的抽象层);logging-abstract.jar 给项目中导入具体的日志实现就行了;我们之前的日志框架都是实现的抽象层 市面上的日志框架 日志门面选择:SLF4J(其他两个日志门面一个不适合、一个很久没有更新) 日志实现选择:Logback SpringBoot:底层使用Spring框架,而Spring框架默认使用的是JCL,SpringBoot选用SLF4J和Logback 如何在系统中使用SLF4j 以后开发的时候,日志
Elasticsearch 6.x:先按照评分排序,再按照时间排序
程裕强的专栏
05-11 1万+
最近在做一个搜索引擎,需要对文档进行中文分析,默认按照评分排序。 现在需要先按照评分排序,再按照文档时间进行二次排序。 核心代码如下: SearchResponse searchResponse = client.prepareSearch(&amp;quot;test&amp;quot;) .setTypes(&amp;quot;doc&amp;quot;) .setQuery(multiMatc...
Elasticsearch二次评分
Ghost Stories
03-29 3794
二次评分给了用户很多机会来定制业务逻辑
ELK日志排序混乱
luoqinglong的专栏
11-10 3616
1、现象 环境使用的是7.4,filebeat,kafka,logstash,es 排序字段是@timestamp,由于是filebeat批量收集提交的,所以该字段的值是一样的。而右边message中的日志没有按照log打印的时间排序,有部分时间的日志在中间,如下图 2、分析 @timestamp字段是经过filebeat处理时添加的,可以通过修改filebeat配置文件,把收集后的日志输出到本地文件,可以看出来多了时间字段。 3、解决方案 这里采用logstash重写@timesta.
ELK(ElasticSearch,Logstash,Kibana)搭建实时日志分析平台
01-29
在搜索ELK资料的时候,发现这篇文章比较好,于是摘抄一小段: 以下内容来自:http://baidu.blog.51cto.com/71938/1676798日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器...
elk7.14下载Elasticsearch kibana 7.14
09-20
Elasticsearch 7.14 下载 logstash-7.14.1 kibana-7.14.1 elastic-agent-7.14 filebeat-7.14 packetbeat-7.14 链接:https://pan.baidu.com/s/1pQQa6CUPtkmCtdA-XnbYyA
ElasticSearch 6.x 学习笔记:20.搜索排序
程裕强的专栏
01-19 4123
20.1 按照文档添加顺序排序 GET website/_search GET website/_search { "query": { "match_all": {} } } 20.2 按照文档相关度评分排序 GET website/_search { "query": { "term": { "title": { "value
ELK日志采集
YMY_666的博客
07-29 603
创建日志索引使文档按照时间字段datetime倒序排序
ES中如何实现对查询结果的二次排序
弹指天下
09-10 3835
本文主要是通过对ES中如何实现对查询结果的二次排序问题的思考,延展说明了ES中通过设置索引中的多个字段的权重来联合打分,从而优化用户的检索体验。
es java 聚合方法——两次排序等同于两次分组
柒然的博客
07-13 2149
/** * 两次排序,第二次排序是在第一次排序的基础上进行排序,并不会打乱第一次排序的结果,等同于两次分组 */ @Test public void doubleSort(){ System.out.println("---------已排序 ------------"); SearchResponse response = cl...
elasticsearch kibana简单使用
恨_别离的博客
05-10 563
1、查看当前已创建索引 GET /_cat/indices?v 可以查看到所有索引信息 2、删除索引 DELETE /elasticsearchnews?pretty 3、查询—匹配指定索引下的所有数据 GET elasticsearchnews/_search { "query": { "match_all": { } } } 4、查询—匹配指定索引的指定列 ...
Elasticsearch——》kibana操作数据:查询、分页、排序、高亮
小仙~
09-18 8489
请参考: 总结——》【ElasticsearchElasticsearch——》kibana操作索引:增删改查 Elasticsearch——》kibana操作数据:增删改查
java之学习记录 9 - 2 - kibana简单操作(下)
dear_zx的博客
03-27 393
基本查询: GET /索引库名/_search { "query":{ "查询类型":{ "查询条件":"查询条件值" } } } 这里的query代表一个查询对象,里面可以有不同的查询属性 查询类型: 例如: match_all , match , term , range 等等 查询条件:查询条件会根据类型的不同,写法也有差异,后面详细讲解 查询所有(match_all) GET /lagou/
python卸载_详解使用setup.py安装python包和卸载python包的方法
weixin_39710951的博客
11-14 694
概述我们一般使用 python setup.py install 来安装python包,如果想降级的话,这种情况应如何卸载呢?手动删除手动删除安装的文件假设要卸载paramiko,可以使用如下命令:1.记录安装后文件的路径python setup.py install --record files.txt2.删除这些文件cat files.txt | xargs rm -rf 这样就删除成功了,删...
es对查询结果的排序
热门推荐
Morning Sunshine的IT技术博客
01-07 1万+
es查询时的自定义排序和过滤: 1)排序 核心:sort字段指定排序; 1、sort字段指定排序, 倒序:“sort”: { “tftxtime”: { “order”: “desc” }} 查询条件格式如下: { "query": { "bool": { "must": [], "must_not": [{ "term": { "flow_yh_yh_...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值