ELK日志采集和查询方法

最新推荐文章于 2024-05-17 17:38:16 发布
最新推荐文章于 2024-05-17 17:38:16 发布
阅读量1.8w 收藏 31
点赞数 7
分类专栏: ELK日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/userwyh/article/details/86668178
版权

我是个目录

回顾

前两篇文章简单的介绍了JAVA通过代码如何使用MDC进行日志打印,去查看log4j MDC用户操作日志追踪配置,以及ELK平台的搭建,去查看log4j MDC用户操作日志追踪配置。接下来将结合实际案例,简单介绍生产服务器的日志如何被logstash进行采集,并统一汇总,使得我们能够快速、方便、高效的查询日志,并且可以方便定位到该条日志是哪台服务器产生的,再也不用盲目的翻遍所有的生产服务器,只为找到出问题的那一台机器。

logstash日志采集

因为我们打印的日志各种各样,为了使我们能够方便的通过kibana进行检索,我们需要在logstash配置对应的搜集规则,如果你啥也不做,只是简单的搜集,可能会出现一些意想不到的错误。

  1. 日志收集是按行来收集的,当你的日志发生了换行,这时候换行的那几行就被认为是独立的一行,这样采集到的日志可读性很差
  2. 如果你使用了MDC,配置了log4j的日志格式输出,不配规则的话一整行都会被采集到message字段,此时你要根据某个字段快速搜索的话基本也是不可能的事情了

基于以上可能出现的“错误”,我们需要针对当前项目的日志配置文件制定一套属于自己的收集规则。
其实logstash的配置文件很简单,基本就以下的套路,日志源从哪里来(input输入插件),通过什么样的规则(filter过滤插件),最终将日志输出到什么地方(output输出插件)

# 输入
input {
  ...
}

# 过滤器
filter {
  ...
}

# 输出
output {
  ...
}

因为我们这里介绍的是项目日志的采集,所以input当然是从file文件中来,配置如下:

input {
    file {
      type => "wechat-log"
      path => ["/usr/local/tomcat/logs/wechat/*.log"]
      codec => multiline{
          pattern => "^\[%{TIMESTAMP_ISO8601}\]"
          what => "previous"
          negate => true
      }
      start_position => "beginning"
    }
}

其中path是日志采集的地方,从日志文件的第一行开始采集,定义一个type(一般最后它就是kibana的索引)。

codec插件

这里codec的出场能够解决诸如我们前面提到的日志换行的问题。在logstash读入的时候,通过codec编码解析日志为相应格式,从logstash输出的时候,通过codec解码成相应格式。当我们的应用程序打印出具有换行的日志的时候,比如ERROR日志,一般有错误堆栈消息,各种at开头的一行,我们可以通过multiline来进行处理,让logstash认为这一行是属于上一行的内容,而不是把它作为新的一行进行处理。
一般我们的tomcat日志都是以时间开头的,对于像at那种堆栈的信息都是不存在时间的,所以我们可以配置正则表达式【^[%{TIMESTAMP_ISO8601}]】,只有当以时间开头的一行才算新的一行,不是时间开头的就属于前面【what=>previous】或者后面的【what=>next】,这里我们配置属于前面的。

上述的配置之后解决了换行问题,那么接下来我们还需要处理按字段进行日志切分的。

grok插件

在grok中,支持以正则表达式的方式提取日志信息,其中,正则表达式又分两种,一种是内置的正则表达式,一种是自定义的正则表达式,当内置的正则表达式不能满足我们的需求的时候,我们就要上自定义的正则表达式了,但是内置的基本满足我们的需求了。具体细节可以查看grok介绍

假设我们的日志配置文件是这样配置的:

<appender name="logic" class="org.apache.log4j.DailyRollingFileAppender">
        <param name="File" value="${catalina.home}/logs/wechat/logic.log" />
        <param name="DatePattern" value="'.'yyyy-MM-dd" />
        <param name="threshold" value="info"/>
        <param name="append" value="true"/>
        <layout class="org.apache.log4j.PatternLayout">
            <param name="ConversionPattern" value="[%d{yyyy-MM-dd HH:mm:ss.SSS}] - %X{merchant} - %X{openid} - %X{queryType} - %X{orderId} - %X{wechatOrderId} - %X{input} - %X{source} - %-6p%c:%L - %m%n" />
        </layout>
</appender>

我们设置了merchant、openid、queryType、orderId、wechatOrderId、input、source7个字段,生产服务器打印的日志将会是以下格式:

[2019-01-27 17:51:22.051] - iPhoneBaoXiu - oisb3smtzToo7jNA4abazKktnECQ - senior - aa4820190127175110 - 4200000283201901277968491434 - 352982093855677 - 1 - INFO  com.apple.wechat.service.Worker:401 - 发送模板消息,查询结果为:me.chanjar.weixin.mp.bean.template.WxMpTemplateData@3813022d
[2019-01-27 17:51:22.230] - iPhoneBaoXiu - oisb3smtzToo7jNA4abazKktnECQ - senior - aa4820190127175110 - 42000002832019277968491434 - 352982093855677 - 1 - ERROR me.chanjar.weixin.mp.api.impl.WxMpServiceImpl:403 - 
[URL]:  https://api.weixin.qq.com/cgi-bin/message/template/send
[PARAMS]: {"touser":"olC5FwLnXjtCbQsW76lkevV57nH0","template_id":"Qt1zyzQs4R1uPrJylGQLSUTS6QcG6UyWB2zDzGt7QGY","url":"http://mp.weixin.qq.com/bizmall/mallshelf?id=&t=mall/list&biz=MjM5OTAxMzk4MQ==&shelf_id=7&showwxpaytitle=1#wechat_redirect","data":{"first":{"value":"查询结果","color":"#B452CD"},"keyword1":{"value":"aa4820190127175110","color":"#FF4040"},"keyword2":{"value":"352982093855677","color":"#FF4040"},"keyword3":{"value":"1.00元","color":"#FF4040"},"remark":********************}
[RESPONSE]: {"errcode":40003,"errmsg":"invalid openid hint: [mLJNpa06824120]"}
[2019-01-27 17:51:22.230] - iPhoneBaoXiu - oisb3smtzToo7jNA4abazKktnECQ - senior - aa4820190127175110 - 4200000283201901277968491434 - 352982093855677 - 1 - ERROR com.apple.wechat.service.Worker:405 - 发送模板消息失败,{"errcode":40003,"errmsg":"invalid openid hint: [mLJNpa06824120]"}
[2019-01-27 17:51:22.231] - iPhoneBaoXiu - oisb3smtzToo7jNA4abazKktnECQ - senior - aa4820190127175110 - 4200000283201901277968491434 - 352982093855677 - 1 - INFO  com.apple.wechat.service.RefundService:57 - 开始发起退款,退款订单id:2056653,微信订单号:4200000283201901277968491434
[2019-01-27 17:51:22.463] -  -  -  -  -  -  -  - INFO  com.apple.wechat.service.Worker:94 - 执行任务:QueryTask{msg='C39XQ4NFKPGN', fromUserId='oOEvtjsGdmAKrZx81zsACqBjjdsA', merchant='MLdress', type='senior', authUserId='olC5FwH40UpZakKBZRls_t_HR9Ew', price='1.00', tradeNo='e50b20190127175115', model='', orderId=2056654, needRefund=false, needRedo=false, sendMsg=false, msgType='1', lat='', lon='', token='e50ba187b2f84297b60fc14699748679', wechatOrderNo='4200000269201901277039023012'}
[2019-01-27 17:51:23.327] - iPhoneBaoXiu - oisb3smtzToo7jNA4abazKktnECQ - senior - aa4820190127175110 - 4200000283201901277968491434 - 352982093855677 - 1 - INFO  com.apple.wechat.service.RefundService:97 - 退款结果:success, 实付金额:1.00,发起退款金额:1.00
[2019-01-27 17:51:26.876] -  -  -  -  -  -  -  - INFO  com.apple.wechat.service.Worker:94 - 执行任务:QueryTask{msg='C39T81JEHG01', fromUserId='oOEvtjotDEF8doO3xVxyJ0-dCqFM', merchant='MLdress', type='normal', authUserId='', price='', tradeNo='', model='', orderId=0, needRefund=false, needRedo=false, sendMsg=false, msgType='1', lat='', lon='', token='', wechatOrderNo=''}
[2019-01-27 17:51:28.003] - MLdress - oOEvtjsGdmAKrZx81zsACqBjjdsA - senior - e50b20190127175115 - 4200000269201901277039023012 - C39XQ4NFKPGN - 1 - INFO  com.apple.wechat.util.HttpUtils:125 - http execute cost total seconds 5540

我们可以通过以下正则表达式将日志进行切割,并把内容赋值给对应的字段

filter {
  grok {
    match => ["message", "\[%{TIMESTAMP_ISO8601:logdate}\] - (?<merchant>[\b\w\s]*) - (?<openid>[\u4e00-\u9fa5\b\w\s]*) - (?<queryType>[\b\w\s]*) - (?<orderId>[\b\w\s]*) - (?<wechatOrderId>[\b\w\s]*) - (?<input>[\b\w\s]*) - (?<source>[\b\w\s]*) - %{WORD:level}\s*%{JAVACLASS:class}:%{NUMBER:lineNumber} - (?<msg>[\W\w\S\s]*)"]
  }
  date {
     match => ["logdate", "yyyy-MM-dd HH:mm:ss.SSS"]
     target => "@timestamp"
  }
}

(? < merchant >[\b\w\s]*) 代表使用[]里面的正则,把识别的结果放到merchant这个字段里面,其他类似。至于这里的match如何输写,跟你的日志配置文件及你想要的效果有很大的关联,所以只能慢慢调试,直到你写的match能够正确切割出你的日志文件。在线测试你的正则表达式是否可以匹配项目输出的日志测试工具传送门

完整的配置文件

input {
    file {
      type => "wechat-log"
      path => ["/usr/local/tomcat/logs/wechat/*.log"]
      codec => multiline{
          pattern => "^\[%{TIMESTAMP_ISO8601}\]"
          what => "previous"
          negate => true
      }
      start_position => "beginning"
    }
}
filter {
  grok {
    match => ["message", "\[%{TIMESTAMP_ISO8601:logdate}\] - (?<merchant>[\b\w\s]*) - (?<openid>[\u4e00-\u9fa5\b\w\s]*) - (?<queryType>[\b\w\s]*) - (?<orderId>[\b\w\s]*) - (?<wechatOrderId>[\b\w\s]*) - (?<input>[\b\w\s]*) - (?<source>[\b\w\s]*) - %{WORD:level}\s*%{JAVACLASS:class}:%{NUMBER:lineNumber} - (?<msg>[\W\w\S\s]*)"]
  }
  date {
     match => ["logdate", "yyyy-MM-dd HH:mm:ss.SSS"]
     target => "@timestamp"
  }
}
output {
    elasticsearch {
      hosts => "**************:9200"
      index => "logstash-%{type}"
      template_overwrite => true
    }
}

保存后启动logstash即可。命令:

nohup ./bin/logstash agent -f config/log.conf &

kibana操作

  1. 首先是创建索引,因为我们的output配置了index为logstash-%{type},所以对于的索引为:logstash-wechat-log
  2. 创建完索引,我们能发现kibana上面列出了我们前面定义的字段,如下图。日志对应的字段信息
  3. 接下来我们就可以通过各种条件来进行日志的搜索了。

假设我们要搜索商户是MLdress,用户输入内容为356110099676675的日志信息,那么我们只需要输入【merchant:MLdress AND input:356110099676675】即可搜索出对应的日志,如下图。在这里插入图片描述

总结

通过在代码使用MDC进行规范的日志打印,在结合logstash提供的强大的日志采集插件,为了解决日志的换行以及我们自定义字段等问题我们需要进行对logstash的配置文件进行配置,以将所有服务器的日志统一上报到es,并通过kibana进行放飞自我的查询操作,只有这样才能极大的提高日常开发效率。

程序员除了要会写代码之外,另外一项加分项那肯定是具有快速发现和定位问题的能力了,如果没有ELK这样的工具,那快速发现及定位其实是比较困难的。

所以,你懂的,赶紧用起来吧。

userwyh
关注
  • 7
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
基于ELK搭建网站实时日志监控平台
weixin_40055163的博客
10-25 2301
基于ELK搭建网站实时日志监控平台 1 为什么要用到ELK 早在传统的单体应用时代,查看日志大都通过SSH客户端登服务器去看,使用较多的命令就是 less 或者 tail。如果服务部署了好几台,就要分别登录到这几台机器上看,等到了分布式和微服务架构流行时代,一个从APP或H5发起的请求除了需要登陆服务器去排查日志,往往还会经过MQ和RPC调用远程到了别的主机继续处理,开发人员定位问题可能还需要根据TraceID或者业务唯一主键去跟踪服务的链路日志,基于传统SSH方式登陆主机查看日志的方式就像图中排查线路的工
基于ELK系统的设备日志自动化抓取及可视化解决方案
xxxxxxxxxxxaa的博客
08-29 1526
我们部署并开发了基于ELK系统的日志抓取及可视化分析工具,该工具能够实时监控设备的状态信息(充电状态,电量等)。当状态信息的变化触发了特定条件时,设备会自动抓取日志并传入Elasticsearch数据库。此外,该平台可以很方便地扩展至多设备而不需要额外的操作。......
elk收集容器日志n种方式
最新发布
nujnus9221的博客
05-17 442
哪种方式更好取决于具体的使用场景、资源限制、技术栈熟悉度以及对性能和可维护性的要求。例如,在大规模的 Kubernetes 部署中,使用 Filebeat 或 Fluentd 配合 DaemonSet 可能是一个较好的选择,因为它们轻量且易于扩展。而在资源受限或需要更复杂日志处理的环境中,直接使用 Logstash 可能更合适。ELK(Elasticsearch, Logstash, Kibana)堆栈可以以多种方式收集容器日志,每种方式都有其特定的使用场景和优缺点。
ELK日志查询常用
搬山境KL攻城狮的修炼手册
09-24 1069
ELK日志查询
使用 ELK 收集日志
Huangjiazhen711的博客
09-13 1575
在当前分布式、微服务架构下,各个应用都部署在不同的服务器上,每个应用都在记录着自己重要或者不重要的日志信息。当我们要通过日志信息来排查错误时,可以根据出错应用在对应的机器上找报错相关的日志信息。但是,可能我们不具有相应服务器的访问权限,也可能相同的应用部署在多台服务器上,导致根本不知道在哪台服务器上找日志。遇到类似这样的尴尬,想要通过日志来排查错误就搞得很麻烦。在这种情况下,ELK 为我们提供了统一的日志管理解决方案,它能很好的支持 Logback 等日志框架,使得我们可以集中的管理不同应用输出的日志信息。
ELK日志可视化
蹊源的奇思妙想的博客
11-17 3154
ELK集中式日志 ELK可以管理上百台服务器的日志信息。 Elasticsearch是一个开源的分布式搜索引擎,提供搜索、分析和存储数据三大功能。它的特点有:分布式、自动发现、索引自动分片、索引副本机制、Restful风格接口、多数据源及自动搜索负载等。(存储日志) Logstash是一个开源的用来收集、解析和过滤日志的工具。支持几乎任何类型的日志,包括系统日志、业务日志和安全日志。它可以从...
ELK---日志收集系统
dingshun129的博客
01-03 3291
ELK日志收集系统 1.要收集哪些日志? ①系统日志–为监控做准备 ②服务日志–数据库–MySQL–慢查询日志、错误日志、普通日志 ③业务日志–log4j(必须要收集的是业务日志) 注:log4j—Java类的数据业务日志 (1)要有针对性的去收集 (2)调整日志级别 2.日志收集后,如何展示?(可视化) ①kibana ②grafana 3.日志收集展示出来后,怎么使用? ①用于给大数据进行分析,作为立体化展示的数据源 ②给研发使用(排障、解决bug等等) ③统计数据流量、作为分析报告的数据源 ELK
ELK日志采集实战教程
02-24
我们可以使用远程ELK集群指向我们的日志文件,或者将日志推入,这在将所有应用程序部署到云中时基本上是必需的。在logstash中创建不同的索引模式。通过使用微服务,我们已经能够克服许多遗留问题,并且它允许我们...
Kubernetes环境部部署ELK日志采集系统
02-28
Kubernetes环境部部署ELK日志采集系统
Logstash日志数据采集ELK可视化分析实战
02-21
基于Logstash的日志数据采集ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),具体内容包括: 01 Logstash的架构及运行流程 02 Logstash的数据采集案例(一) 03 Logstash的数据采集案例(二) 04...
elk采集服务日志数据
03-23
springboot日志通过filebeat,logstash将日志内容采集到es中,kibana展示日志数据
elktail, 用于查询搜索和跟踪 EL ( elasticsearch,logstash ) 日志的命令行 实用程序.zip
09-18
elktail, 用于查询搜索和跟踪 EL ( elasticsearch,logstash ) 日志的命令行 实用程序 ElktailElktail是用于查询和跟踪 ELK ( elasticsearch,logstash,kibana ) 日志的命令行 实用工具。 尽管它是强大的,但使用kibana界面来搜索和分析日志并不总是可行的。 有时你只希望 t
Windows安装ELK,ElasticSearch查询操作
胡买提
12-20 497
ELK的安装及ElasticSearch的简单查询
ELK(Elastic Search、Logstash、Kibana、Logstash)日志采集分析搭建
qq_42970366的博客
08-26 1094
ELK(Elastic Search、Logstash、Kibana、Logstash)日志采集分析搭建
ELK应用日志收集实战
悦分享
08-19 202
这里通过LogFormat指令定义了日志输出格式,在这个自定义日志输出中,定义了13个字段,定义方式为:字段名称:字段内容,字段名称是随意指定的,能代表其含义即可,字段名称和字段内容都通过双引号括起来,而双引号是特殊字符,需要转移,因此,使用了转移字符“\”,每个字段之间通过逗号分隔。此外,还定义了一个时间字段 @timestamp,这个字段的时间格式也是自定义的,此字段记录日志的生成时间,非常有用,CustomLog指令用来指定日志文件的名称和路径。
ELK日志分析系统配置方法,很详细!
aaa1414124211的博客
10-29 831
本章目录一.案例环境:配置ELK日志分析系统1.1:配置elasticsearch环境1.2:部署elasticsearch软件三级目录 一.案例环境:配置ELK日志分析系统 配置和安装ELK日志分析系统,安装集群方式,2个elasticsearch节点,并监控apache服务器日志 环境搭建: 主机 操作系统 主机名 IP地址 主要软件 服务器 Centos7.4 node1 20.0.0.30 Elasticsearch Kibana 服务器
ELK日志检索系统--FileBeat配置说明
春天的道路依然充满泥泞!
10-24 7941
0. FileBeat使用说明FileBeat是一个日志收集器,基于Logstash-Forwarder的源代码。FileBeat一般以代理的身份运行在服务器中,并监视用户指定的目录、文件,同时把日志文件更新部分推送给Logstash解析或者直接推送给ES索引。FileBeat的工作方式: 当FileBeat在服务器上启动后,它同时启动一个或者多个prospectors来监视用户指定的日志文件目录
Logstash详解之——filter模块
weixin_33895695的博客
08-01 1322
Logstash三个组件的第二个组件,也是真个Logstash工具中最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。 1、grok插件 grok插件有非常强大的功能,他能匹配一切数据,但是他的性能和对资源的损耗同样让人诟病。 filter{ grok{ #只说一个match属性,他的作用是从message 字段中...
python随机数据随概率分布_python – 为实际数据的分布生成随机数?
weixin_39521009的博客
11-29 329
我有一组真实数据,我想使用这些数据来查找概率分布,然后根据它们的pdf使用它们的属性生成一些随机点.我的数据集示例如下:#Mag Weight21.9786 3.678224.0305 6.112021.9544 4.222523.9383 5.137523.9352 4.649923.0261 5.135523.8682 5.993224.8052 4.176522.8976 5.190123....
简单ELK配置实现生产级别的日志采集查询实践.doc
07-09
“简单ELK配置实现生产级别的日志采集查询实践.doc" 这一文档详细介绍了如何部署和配置ElasticSearch(ES)集群,以实现生产级别的日志采集查询操作。开篇强调了在部署ES生产环境时需要考虑的五个问题,包括集群...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值