ELK日志分析系统之使用multiline合并多行显示

已于 2022-03-27 13:44:26 修改
阅读量4.2k 收藏 3
点赞数
分类专栏: 高效运维 文章标签: elk elasticsearch 大数据
于 2022-03-14 22:06:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012069313/article/details/123477160
版权

目录

一、前言

本博在 ELK日志分析系统之集成Filebeat 一文中,介绍了使用 Elasticsearch、Logstash、Kibana、Filebeat 来搭建 ELK 。但是搭建后发现输出的日志都是单行的,一条日志占多行的情况也是分开多行显示,显得非常凌乱。为此,我们引入 multiline 来实现合并多行为一行显示。

二、multiline 的使用

有多种方式实现多行合并显示,以下我们演示最常用的三种方法。

1.使用 logstash-codec-multiline 插件

该插件在 Logstash 下默认是已安装的,可通过命令查看:

./bin/logstash-plugin list

[root@localhost logstash-7.16.2]# ./bin/logstash-plugin list
logstash-codec-avro
logstash-codec-cef
logstash-codec-collectd
logstash-codec-dots
logstash-codec-edn
logstash-codec-edn_lines
logstash-codec-es_bulk
logstash-codec-fluent
logstash-codec-graphite
logstash-codec-json
logstash-codec-json_lines
logstash-codec-line
logstash-codec-msgpack
logstash-codec-multiline
...

修改 config/logstash-sample.conf,修改内容如下:

input {
    file {
        path => "/home/source/api/logs/*.out"
        type => "user_log"
        start_position => "beginning"
        codec => multiline {
            pattern => "^%{YEAR}%{MONTHNUM}%{MONTHDAY}[ ]%{TIME}"
            negate => true
            what => "previous"
        }
    }
}

配置项说明:

codec =>multiline {
     charset=>...          # 可选,字符编码                       
     max_bytes=>...        # 可选,设置最大的字节数,bytes 类型
     max_lines=>...        # 可选,设置最大的行数,默认是500行,number 类型
     multiline_tag...      # 可选,设置一个事件标签,默认是 multiline,string 类型
     pattern=>...          # 必选,设置匹配的正则表达式,string 类型
     patterns_dir=>...     # 可选,可以设置多个正则表达式,array 类型
     negate=>...           # 可选,默认为 false,boolean 类型
     what=>...             # 必选,向前 previous ,向后 next
 }

修改完成后重启 Logstash。

2.使用 logstash-filter-multiline 插件

该插件在 Logstash 下默认是未安装的,执行以下命令进行安装:

./bin/logstash-plugin install logstash-filter-multiline

安装完成后,修改 config/logstash-sample.conf,修改内容如下:

filter{
    multiline {
        pattern => "^%{YEAR}%{MONTHNUM}%{MONTHDAY}[ ]%{TIME}"
        negate => true
        what => "previous" 
    }
}

修改完成后重启 Logstash。

3.使用 Filebeat

- type: log

  # Change to true to enable this input configuration.
  enabled: true

  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    - /home/source/api/logs/*.out
  tags: ["shop_dev"]

  fields:
    log_type: filebeat_shop_dev
    
  scan_frequency: 10s  # 检测文件更新频率
  multiline.pattern: '^\d{4}-\d{1,2}-\d{1,2}\s\d{2}\:\d{2}\:\d{2}\.\d{3}'     #匹配值 2022-03-14 21:13:35.112
  multiline.negate: true  # true,不匹配 pattern 的行合并到上一行;false,匹配 pattern 的行合并到上一行。默认为 false
  multiline.match: after  # after,为匹配合并到上一行的末尾;before,为匹配合并到上一行的开头
  multiline.timeout: 30s  # 匹配 pattern 模式超时时间
  tail_files: true  # 从文件尾开始监控文件新增内容
  fields_under_root: true

配置项说明:

multiline.pattern:匹配模板(正则表达式)
multiline.negate:正则表达式是否正向生效。true:符合正则表达式的为一个基准行;false:不符合表达式的为一个基准行
multiline.match:值为 after 或 before。after 代表合并到上一行的末尾;before 代表合并到下一行的开头
multiline.max_lines:合并的最大行数,默认 500
multiline.timeout:一次合并事件的超时时间,默认为 5s,防止合并消耗太多时间导致进程卡死

修改完成后重启 Filebeat。

奔跑吧邓邓子
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
docker 搭建 ELK
03-26
1.下载解压 2. 进入 elk 目录,执行下列命令 docker-compose up -d。 3. 使用 docker ps 查看容器状态。
ELK日志分析系统搭建
05-01
ELK(Elasticsearch、Logstash和Kibana) 日志分析 系统搭建
图文详解:ElasticSearch实战,让你Filebeat快速入门和使用
2401_84025139的博客
03-31 951
有时候,我们想采集json文件并直接将json文件的数据按照格式写入到ES对应的索引库中,我们也可以通过filebeat去实现。1.在filebeat的目录下创建一个的yml文件。配置文件:type: logfields:paths:自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。
FileBeat系列:multilinepattern negate match使用方法
NIO4444
05-16 7264
Java Stack Exception后面行都是以空白开始的。 Exception in thread "main" java.lang.NullPointerException at com.example.myproject.Book.getTitle(Book.java:16) at com.example.myproject.Author.getBookTitles(Author.java:25) at com.example...
Logstash——multiline 插件,匹配多行日志
热门推荐
我的地盘
09-22 2万+
Logstash——multiline 插件,匹配多行日志
GPIB_Code
混沌的博客
12-21 3698
Avoid unnecessary use of *RST. Putting Multiple Commands on the Same Line ; *OPC (operation complete) sets bit 0 in the standard event status register when all operations are complete. /*Set the a
filebeat踩坑
weixin_34310369的博客
04-01 738
使用filebeat5.0.1版本,用filebeat作为日志收集工具时:java日志格式需要多行匹配,在filebeat配置文件中添加: ### Multiline options # Mutiline can be used for log messages spanning multiple lines. This is common # for Java Sta...
filebeat常见配置项梳理
Jerry00713的博客
02-24 6296
filebeat 5.2.2 prospector(input)段配置 filebeat.prospectors: 每一个prospectors,起始于一个破折号”-“ - input_type: log #默认log,从日志文件读取每一行。stdin,从标准输入读取 paths: 日志文件路径列表,可用通配符,不递归 - /var/log/*.log encoding: plain #编码,默认无,plain(不验证或者改变任何输入), latin1, utf-8, utf-16be-b
filebeat收集java程序多行报错(八)
江晓龙的博客
06-18 1187
filebeat收集java程序多行报错 1.什么是java程序多行报错 一个java程序报错往往是一个事件,这个报错并不是一行就能展示完的,几乎需要几十行才能展示完这个报错内容,对于filebeat来说,filebeat每次都是把一行看成了一个日志,那么对于java多行报错就不是很友好了,即使收集过来也是将一个事件的报错日志分成很多行在kibana上展示,这样对于开发人员来看日志就很头疼了 如果对于多行报错的日志还用传统的收集方法,就像下图一样,完全不知道报错是什么了,不管谁看这个日志都需要去对比 多行
Filebeat multiline合并多行日志
qq_25911515的博客
01-11 4283
ES 6.3版本 filebeat.inputs: - type: log enabled: true paths: # - /var/log/*.log - /opt/filebeat-6.3.2-linux-x86_64/test.log # exclude_lines: ['ConfigClusterResolver'] #filebeat.config.modu...
应该怎样正确配置filebeat文件(包括multiline、input_type等)
xh6312643的博客
05-06 1万+
elk大数据信息采集、处理的最流行技术,而其中filebeat又是elk最为基础的日志采集工具。配置得好我们能非常高效地采集日志,配置得不好却会出现日志丢失、日志采集占用生产机资源高的现象。本文根据自己的配置经验,进行filebeat配置常用字段配置的阐述。input_type:输入filebeat的类型,包括log(具体路径的日志)和stdin(键盘输入)两种。multiline:日志中经常会...
快速搭建ELK日志分析系统
01-27
ELKElasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部。Elasticsearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结构提供高效搜索功能,可...
采用ELK搭建日志分析系统.docx
10-13
采用ELK搭建日志分析系统
ELK企业日志分析系统部署实战!理论+实战!
01-09
文章目录前言一:理论部分1.1:什么是ELK日志分析系统?有什么作用?1.2:什么原因催生了ELK日志分析系统?1.3:ELK日志分析系统的开源工具解析1.3.1:Logstash解析1.3.2:ElasticSearch解析1.3.3:Kiabana解析1.4:...
PeLK: 大卷积核强势回归,高达101 × 101,提出了外围卷积
AI数据工厂
04-27 1195
PeLK:超大卷积核,高达101*101!
ElasticSearch教程入门到精通——第二部分(基于ELK技术栈elasticsearch 7.x新特性)
这里有一只小马吖
04-27 1090
ElasticSearch教程入门到精通——Javaapi
vue3 vite 路由去中心化(modules文件夹自动导入router)
Li_Ning21的博客
04-27 452
通过路由去中心化可实现多人写作开发,不怕文件不停修改导致的冲突,modules中的文件可自动导入到index.js中。
深入解析 `org.elasticsearch.action.search.SearchRequest` 类
最新发布
一起coding,一起嗨。
04-30 403
深入解析 `org.elasticsearch.action.search.SearchRequest` 类
使用Elasticsearch映射定义索引结构
一起coding,一起嗨。
04-25 1223
使用Elasticsearch映射定义索引结构
ELK日志分析系统的工作原理
02-28
ELK日志分析系统是由三个主要组件组成的:Elasticsearch、Logstash 和 Kibana。 1. Elasticsearch 是一个开源搜索引擎,它能够存储和查询大量的日志数据。 2. Logstash 是一个数据收集和处理工具,它能够从多个来源收集日志数据,并将其转换为 Elasticsearch 可以处理的格式。 3. Kibana 是一个可视化工具,它能够帮助用户使用图表和图形来分析和理解存储在 Elasticsearch 中的日志数据。 ELK 日志分析系统的工作流程如下: 1. 日志产生:应用程序或服务生成日志数据。 2. 日志收集:Logstash 从各种来源收集日志数据,包括文件、数据库、网络端口等。 3. 日志转换:Logstash 对日志数据进行过滤和转换,将其转换为 Elasticsearch 可以处理的格式。 4. 日志存储:Elasticsearch 将转换后的日志数据存储到其内部数据库中。 5. 日志查询:用户使用 Kibana 对存储在 Elasticsearch 中的日志数据进行查询和可视化分析。 6. 日志报告:Kibana 可以将分析结果以图表或图形的形式展示给用户,方便用户

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奔跑吧邓邓子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值