ELK日志采集和查询方法

最新推荐文章于 2024-07-25 17:49:34 发布
最新推荐文章于 2024-07-25 17:49:34 发布
阅读量1.9w 收藏 31
点赞数 7
分类专栏: ELK日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/userwyh/article/details/86668178
版权

我是个目录

回顾

前两篇文章简单的介绍了JAVA通过代码如何使用MDC进行日志打印,去查看log4j MDC用户操作日志追踪配置,以及ELK平台的搭建,去查看log4j MDC用户操作日志追踪配置。接下来将结合实际案例,简单介绍生产服务器的日志如何被logstash进行采集,并统一汇总,使得我们能够快速、方便、高效的查询日志,并且可以方便定位到该条日志是哪台服务器产生的,再也不用盲目的翻遍所有的生产服务器,只为找到出问题的那一台机器。

logstash日志采集

因为我们打印的日志各种各样,为了使我们能够方便的通过kibana进行检索,我们需要在logstash配置对应的搜集规则,如果你啥也不做,只是简单的搜集,可能会出现一些意想不到的错误。

  1. 日志收集是按行来收集的,当你的日志发生了换行,这时候换行的那几行就被认为是独立的一行,这样采集到的日志可读性很差
  2. 如果你使用了MDC,配置了log4j的日志格式输出,不配规则的话一整行都会被采集到message字段,此时你要根据某个字段快速搜索的话基本也是不可能的事情了

基于以上可能出现的“错误”,我们需要针对当前项目的日志配置文件制定一套属于自己的收集规则。
其实logstash的配置文件很简单,基本就以下的套路,日志源从哪里来(input输入插件),通过什么样的规则(filter过滤插件),最终将日志输出到什么地方(output输出插件)

# 输入
input {
  ...
}

# 过滤器
filter {
  ...
}

# 输出
output {
  ...
}

因为我们这里介绍的是项目日志的采集,所以input当然是从file文件中来,配置如下:

input {
    file {
      type => "wechat-log"
      path => ["/usr/local/tomcat/logs/wechat/*.log"]
      codec => multiline{
          pattern => "^\[%{TIMESTAMP_ISO8601}\]"
          what => "previous"
          negate => true
      }
      start_position => "beginning"
    }
}

其中path是日志采集的地方,从日志文件的第一行开始采集,定义一个type(一般最后它就是kibana的索引)。

codec插件

这里codec的出场能够解决诸如我们前面提到的日志换行的问题。在logstash读入的时候,通过codec编码解析日志为相应格式,从logstash输出的时候,通过codec解码成相应格式。当我们的应用程序打印出具有换行的日志的时候,比如ERROR日志,一般有错误堆栈消息,各种at开头的一行,我们可以通过multiline来进行处理,让logstash认为这一行是属于上一行的内容,而不是把它作为新的一行进行处理。
一般我们的tomcat日志都是以时间开头的,对于像at那种堆栈的信息都是不存在时间的,所以我们可以配置正则表达式【^[%{TIMESTAMP_ISO8601}]】,只有当以时间开头的一行才算新的一行ÿ

最低0.47元/天 解锁文章
userwyh
关注
专栏目录
【教你通透ELKelk 自定义日志采集
走向CTO的路上...
08-03 591
(1)Logstash:Logstash 是一个开源的数据收集引擎,它可以从各种来源收集数据,如日志文件、TCP/UDP、JMX 等,然后将数据转换为统一的格式,并将其发送到 Elasticsearch 或其他目的地。(2)Elasticsearch:Elasticsearch 是一个分布式的搜索和分析引擎,它可以存储和索引大量的数据,并提供实时的搜索和分析功能。(1)配置 Logstash:在 Logstash 中配置输入插件、过滤器插件和输出插件,以定义日志数据的采集、处理和存储方式。
基于ELK系统的设备日志自动化抓取及可视化解决方案
xxxxxxxxxxxaa的博客
08-29 1578
我们部署并开发了基于ELK系统的日志抓取及可视化分析工具,该工具能够实时监控设备的状态信息(充电状态,电量等)。当状态信息的变化触发了特定条件时,设备会自动抓取日志并传入Elasticsearch数据库。此外,该平台可以很方便地扩展至多设备而不需要额外的操作。......
Spring Boot 搭建ELK,这才是正确看日志的方式
QAQFyl的博客
03-01 717
为什么要用ELK ELK实际上是三个工具,Elastricsearch + Logstash + Kibana,通过ELK,用来收集日志还有进行日志分析,最后通过可视化UI进行展示。一开始业务量比较小的时候,通过简单的SLF4J+Logger在服务器打印日志,通过grep进行简单查询,但是随着业务量增加,数据量也会不断增加,所以使用ELK可以进行大数量的日志收集和分析 简单画了一下架构图 在环境配置中,主要介绍Mac和Linux配置,Windows系统大致相同,当然,前提是大家都安装了JDK.
ELK 日志分析系统
最新发布
zheshijiuyue的博客
07-25 1373
了解ELk日志分析系统;安装,配置Elasticsearch日志收集;安装和配置Kibana进行日志查看。
微服务测试的关键——通过ELK查询日志
liwenxiang629的博客
11-06 1252
为什么需要ELK 一般我们在工作中查询日志搜索问题时,通常需要直接在日志文件中进行grep、awk 操作就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。随着微服务的广泛应用,无论系统日志,还是业务日志都更进一步了。运维或者开发们发现要从这么大规模的系统中(几百个上千个服务)产生的千亿规模日志去排查问题,简直是难于上青天啊。而ELK的出现解决了这个痛点,他是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:
elk日志查询常用语法
g200000的博客
07-09 1412
很多系统的日志都会放在 Kibana 供查询,就是所谓的 ELK。Kibana 除了可以使用界面供的一些 tab 或者 button 去筛选日志,也可以在搜索栏中使用Lucene的语法简单的交互式查询。可以做基于字段的特定搜索,过滤数据,也可以查看索引号的文档。查询的语法可以参考,包括正则语法和其他模糊匹配方法。
ELK 实现日志检索
sumguo10qq的博客
02-24 3042
elk
ELK日志查询常用
搬山境KL攻城狮的修炼手册
09-24 1145
ELK日志查询
ELK日志采集实战教程
02-24
我们可以使用远程ELK集群指向我们的日志文件,或者将日志推入,这在将所有应用程序部署到云中时基本上是必需的。在logstash中创建不同的索引模式。通过使用微服务,我们已经能够克服许多遗留问题,并且它允许我们...
Kubernetes环境部部署ELK日志采集系统
02-28
Kubernetes环境部部署ELK日志采集系统
elktail, 用于查询搜索和跟踪 EL ( elasticsearch,logstash ) 日志的命令行 实用程序.zip
09-18
elktail, 用于查询搜索和跟踪 EL ( elasticsearch,logstash ) 日志的命令行 实用程序 ElktailElktail是用于查询和跟踪 ELK ( elasticsearch,logstash,kibana ) 日志的命令行 实用工具。 尽管它是强大的,但使用kibana界面来搜索和分析日志并不总是可行的。 有时你只希望 t
ELK日志分析系统(企业级查看日志系统)
OSoooo的博客
10-06 1493
一、 ELK日志分析系统简介 ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志查询、排序、统计需求。 ElasticSearch:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。 Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。 Elasticsearch 是
elk查询语法
dcx3291777的博客
08-22 128
查询指定IP段,如123.123.123.* geo.ip=123.123.123.* 转载于:https://www.cnblogs.com/AirCrk/p/5794398.html
python随机数据随概率分布_python – 为实际数据的分布生成随机数?
weixin_39521009的博客
11-29 334
我有一组真实数据,我想使用这些数据来查找概率分布,然后根据它们的pdf使用它们的属性生成一些随机点.我的数据集示例如下:#Mag Weight21.9786 3.678224.0305 6.112021.9544 4.222523.9383 5.137523.9352 4.649923.0261 5.135523.8682 5.993224.8052 4.176522.8976 5.190123....
elk日志 elastic(kibana)】
娜娜丫的博客
02-19 2300
每次查日志,我都需要别人帮我,时间长了总觉得不好意思,所以这次下定决心好好的梳理一下,怎么查日志
使用 ELK 收集日志
Huangjiazhen711的博客
09-13 1602
在当前分布式、微服务架构下,各个应用都部署在不同的服务器上,每个应用都在记录着自己重要或者不重要的日志信息。当我们要通过日志信息来排查错误时,可以根据出错应用在对应的机器上找报错相关的日志信息。但是,可能我们不具有相应服务器的访问权限,也可能相同的应用部署在多台服务器上,导致根本不知道在哪台服务器上找日志。遇到类似这样的尴尬,想要通过日志来排查错误就搞得很麻烦。在这种情况下,ELK 为我们提供了统一的日志管理解决方案,它能很好的支持 Logback 等日志框架,使得我们可以集中的管理不同应用输出的日志信息。
ELK日志分析Elasticsearch模块——语法基础CRUD
山东梅长苏
03-14 2017
摘要: ElastICsearch的基本操作:增删改查,有必要了解,以备不时之需. 增删改查是数据库的基础操作方法。ES 虽然不是数据库,但是很多场合下,都被人们当做一个文档型 NoSQL 数据库在使用,原因自然是因为在接口和分布式架构层面的相似性。ElastICsearch的基本操作:增删改查,有必要了解,以备不时之需.增删改查是数据库的基础操作方法。ES 虽然不是数据库,但是很多场合下,都被人...
elk 日志查询系统搭建
sbit_的博客
07-08 263
elk 服务端配置 docker-compose 部署服务 version: '3.0' services: elasticsearch: restart: always image: elasticsearch:7.4.0 ports: - "9200:9200" - "9300:9300" container_name: "es" ...
ELK配置实现生产级别的日志采集查询最佳实践总结
“简单ELK配置实现生产级别的日志采集查询实践.doc" 这一文档详细介绍了如何部署和配置ElasticSearch(ES)集群,以实现生产级别的日志采集查询操作。开篇强调了在部署ES生产环境时需要考虑的五个问题,包括集群...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值