logstash+grok+json+elasticsearch解析复杂日志数据(二)

最新推荐文章于 2024-07-02 16:31:02 发布
最新推荐文章于 2024-07-02 16:31:02 发布
阅读量9.2k 收藏 5
点赞数 2
分类专栏: ELK Stack 文章标签: logstash grok json elasticsearch kibana
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014297722/article/details/52862494
版权
本文探讨了logstash在处理实时数据时的配置,包括启动位置选项和日志数据重复问题。文章指出,logstash的默认设置可能导致数据重复读取,需要通过删除elasticsearch索引来避免。此外,还讲解了elasticsearch中date类型的处理,以及kibana显示时间与UTC的差异。提出了调整logstash过滤器线程的方法,并分析了可能遇到的错误。最后分享了kibana仪表盘的简单制作及解决时区问题的相关资源。
摘要由CSDN通过智能技术生成

       接着上面一篇来说,这篇主要介绍logstash处理实时数据问题,日志数据更新时,logstash处理方式是默认每15s检查一次文件夹,每5秒检查一次文件,这些参数可以改变的。遇到当处理较多批次数据时,logstash出现卡死状态的原因,我目前猜测是输入文件较多logstash处理很快,而输出插件input elasticsearch这个插件线程限制,导致的死锁问题,后面详细说。最后展示一下kibana日志数据时区从UTC改成显示北京时间的几个方法,最后展示一下仪表盘效果。

       先上logstsh中配置文件代码:

<span style="font-size:14px;"><span style="font-family:SimSun;font-size:14px;">input { 
  file{
    path => ["/home/cuixuange/Public/elk/test_log/*.log","/home/cuixuange/Public/elk/test_log/logs/*"]
    start_position=>"beginning"

     discover_interval => 15
     stat_interval => 1
     sincedb_write_interval => 15
   } 
}

filter{

  grok{
    match=>{ "message" => "(?m)%{DATA:timestamp}  \[%{DATA:ip}\] . \[%{DATA:type}\] %{GREEDYDATA:log_json}"  
           }
  }
  json {
        source => "log_json"
        target => "log_json_content"
        remove_field=>["logjson"]
  }
 # json {
 #       source => "trace"
 #       target => "trace_content"
 #       remove_field=>["trace"]
 # }

  date {
    match => [ "timestamp", "yyyy-MM-dd HH:mm:ss" ]
    locale => "en"
    timezone=>"+00:00"
  }


}

output {
   if[timestamp]=~/^\d{4}-\d{2}-\d{2}/{
     elasticsearch {
         host => "192.168.172.128"
         index => "logstash-test-%{+yyyy.MM.dd}"   #logstash-* to find
         workers=>5
         template_overwrite =>true
     }
  }
   #stdout{codec=>json_lines}
}



</span></span>

简单解释解释意思:

1

最低0.47元/天 解锁文章
cuixuange
关注
专栏目录
Fliebeat+Kafka+Elasticsearch+Logstash日志分析实战
悦分享
10-08 905
ELK 不是一款软件,而是 ElasticsearchLogstashKibana 三种软件产品的首字母缩写。这三者都是开源软件,通常配合使用,而且又先后归于 Elastic.co 公司名下,所以被简称为 ELK Stack。根据 Google Trend 的信息显示,ELK Stack 已经成为目前最流行的集中式日志解决方案。Elasticsearch:分布式搜索和分析引擎,具有高可伸缩、高可靠和易管理等特点。
logstash+grok+json+elasticsearch解析复杂日志数据(一)
热门推荐
cuixuange的博客
11-25 2万+
这几天学习了logstash写配置文件conf解析包含部分json数据格式的日志数据,并在elasticsearch以及kibana进行直观的数据浏览。对于logstash有了更加深入的了解,logstash在运维方面是开源的日志收集框架,其中包含了许多插件,下载的时候就包含在其中了,比较常用的有输入插件,输出插件,codec编码插件,filter过滤器插件,输出插件等等,甚至还有许多美未能进入官
logstash解析JSON格式的字符串输入
qq_34295546的博客
08-21 1506
业务需求:输入为JSON字符串,JSON字符串的字段个数不确定,但知道最多可能会有哪些字段,顺序确定的,现在要提取其中的value值并以制表符分割,方便后续存储在HDFS中并便于hive建表: 示例输入: { "cjdid": "DZQ10012","rfidId": 21412341234123410,"passTime": 1530135600,"plateColor": "1",
Logstash——grok
最新发布
Lzcsfg的博客
07-02 1119
1、由tcp 的8888端口将日志发送到logstash2、数据grok进行正则匹配处理3、处理后,数据将被打印到终端并存储到esinput {tcp {filter {grok {output {stdout {​1、由tcp 的8888端口将日志发送到logstash2、数据grok进行正则匹配处理3、处理后,数据将被打印到终端input {tcp {filter {grok {output {stdout {​INT (?:[+-]?:[0-9]+))
grokJSON 检测
my_bai的博客
06-22 1990
https://github.com/qiniu/logkit/wiki/Grok-Parser    #grok 格式检测 https://github.com/qiniu/logkit/wiki/Grok-Parser   #json 格式检测
Logstash:如何使用 Logstash 解析并摄入 JSON 数据Elasticsearch
Elastic 中国社区官方博客
01-31 2333
详细描述如何把 JSON 格式的文件摄入到 Elasticsearch 集群中。
logstash解析嵌套json格式数据
u011311291的博客
02-01 1万+
现有json: { "name":"zhangsan", "friends": { "friend1":"lisi", "friend2":"wangwu", "msg":["haha","yaya"] } } 将其解析为: { "name":"zhangs
elasticsearch+logstash+kafka配置说明
pt574610023的博客
11-30 1186
ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。本文档简述ElasticSearch配合kafka单机部署的一个环境,以及j...
FileBeat+Elasticsearch+Logstash+Kibana日志收集分析系统搭建
canthny的专栏
08-15 1890
准备阶段 6.0以上版本需要jdk1.8,自行安装 wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.0.0-linux-x86_64.tar.gz wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.0.0...
ELKF日志学习(十)Logstash解析日志json
IMJCW的博客
01-08 945
前言 之前大致说了一下 Logstash 的能力。 关于输入输出并不多做介绍了,这里主要讲解一下日志解析部分。 代码仓库 talk-lucky/elkf-study Grok 原理很简单,就是 正则。 这里有个非常实用的网站 Grok Debugger,可以帮助我们验证调试解日志的正则。(可能需要自备梯子) 官方有一部分预定义 grok 的表达式,可以参考,我们也可以编写一些预定义的表达式供后续使用。 Kibana 也提供了相应的工具,只不过没那么好用罢了。 示例 比如,有这么一段日志(nginx/acce
logstash-filter-grok:Grok插件可将非结构化(日志数据解析为结构化的内容
05-07
Logstash插件 这是的插件。 它是完全免费和完全开源的。 该许可证是Apache 2.0,这意味着您可以随意使用它,但是您可以通过任何方式使用它。 文献资料 Logstash提供了自动为该插件生成文档的基础结构。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放置在一个。 对于格式代码或配置示例,可以使用asciidoc [source,ruby]指令 有关更多asciidoc格式化技巧,请参见此处的出色参考 需要帮忙? 需要帮忙? 在freenode IRC或论坛上尝试#logstash。 发展 1.插件开发与测试 代码 首先,您需要安装了Bundler gem的JRuby。 从GitHub 组织创建一个新的插件或克隆并存在。 我们还提供了。 安装依赖项 bundle install 测试
java-grok:简单的API,可让您轻松解析日志和其他文件
05-01
格罗克 Java Grok是简单的API,可让您轻松解析日志和其他文件(单行)。 使用Java Grok,您可以将非结构化日志和事件数据转换为结构化数据JSON)。 我可以将Grok用作什么? 从日志和流程中报告错误和其他模式 解析复杂的文本输出并将其转换为json以进行外部处理 将“一次写入,随处使用”应用于正则表达式 自动为未知文本输入提供模式(您想要生成模式以供将来匹配的日志) Maven仓库 <dependency> <groupId>io.krakens</groupId> <artifactId>java-grok</artifactId> <version>0.1.9</version> </dependency> 还是用gradle compile " io.krakens:java-grok:0.1.9 " 旧版本() 用法( ) 如何使用java
Logstash解析日志文件—包含json内容
Map的博客
11-04 1872
由于业务需要,Logstash采集日志文件内容输出到Elasticsearch 1.日志格式样例: 2019/10/09 05:05:46 [INFO] [Log.go:67] {"name":"SKT002","Type":"Face","UUID":"dasdasdasda"} 2.logstash.con配置文件 input { beats { port =&...
slf4j-logback 日志json格式导入ELK
01-13 839
同事整理的,在此分享。logback,log4j2 等slf4j的日志实现都可以以json格式输出日志, 这里采用的是logback。当然也可以以文本行的格式输出,然后在logstash里通过grok解析,但是直接以json格式输出,在logstash处理时效率会高一点。 Logback 输出 Json格式日志文件 为了让 logback 输出JSON 格式的日志文件,需要在pom...
记一次logstash解析丢失全量字段message的情况
Mr.Bug的博客
08-06 1857
应用场景: kafka中存json数据,经logstash“丰富化”后,发送给es存储的过程,如果在input阶段就把数据转换为json,会造成后边处理数据的时候,无法获取全量字段(原始数据),。 input{ #异常登录json字符串数据 kafka { group_id => "test-consumer-group" #如果数据在 input阶段 进行 json格式转换,后面在进行数据处理的时候将会失去 全量字段(原始信息) #codec => "js
提取字符串中的json字符串
qq_43028048的博客
10-14 1212
提取字符串中的json字符串。
ElasticSearch常用json参数含义(get请求篇)
a2321123的博客
06-05 633
ElasticSearch中常用的语法,和对其的解释
Logstash解析 JSON 文件并导入到 Elasticsearch
Elastic 中国社区官方博客
03-05 6959
在今天的文章中,我们将详述如何使用 Logstash解析 JSON 文件的日志,并把它导入到 Elasticsearch 中。在之前的文章 “Logstash:Data转换,分析,提取,丰富及核心操作” 也有提到过,但是没有具体的例子。总体说来解析 JSON 文件的日志有两种方法: 在 file input 里使用 JSON codec 在 file input 里不使用 JSON code,但是在 filter 的部分使用 JSON filter 我们把 JSON 格式的数据解析并导入到 Elas
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值