vbaspdelphi的专栏

最近面临一个任务，要对mysql的慢查询日志进行整理输出。之前的Le的时候，写过一个脚本，multiline处理mysql的日志，然后每天发送日志。不过，由于日志格式不同，有些可以解析，但是有些也是解析错误了。听说elk很牛已经很久了，之前也测试过，当时是为了打造一款日志处理中心，但是需要有RBA功能，role based authorization，区分不同的用户权限，但是当时的测试非常糟糕，一个

kibanna默认是没有日志报警等功能，本来想着yelp写了个插件elasticalert，但是配置文件搞了半天也没搞懂，看到kibana有个x-pack功能，体验一下喽。　安装kibana./bin/kibana-plugin install x-packelasticsearch./bin/elasticsearch-plugin install x-pack连接地址： kibana地址:560

目标， 使用elastalert 做elasticsearch的日志关键字报警。问题，master主线上的alert对于ES5的支持有问题有人说需要修改几个地方，大概是下面的三个elastalert.py 修改/usr/lib/python2.7/site-packages/elastalert-0.1.4-py2.7.egg/elastalert/elastalert.py159841

elastalert (support_es5分支) + elasticsearch 5.1filter: - query_string: query: "message: 测试一下下"或者filter:- query_string: query: "message: 测试一下下"https://github.com/Yelp/elastalert/issue

搞了两天，终于可以报警了elastalert配置config.yamlrules_folder: example_rulesrun_every: #minutes: 1 seconds: 3buffer_time: minutes: 15es_host: 192.168.0.231es_port: 9200writeback_index: elastalert_statusalert

经过一阵儿的学习，elastalert可以满足如下需求： 1. filter关键字 2. 报警接下来，就是部署到测试环境，正式开始中短期测试。我们采用supervisord的方式进行部署。supervisord的配置[program:elastalert]priority=1command=/usr/local/scripts/deploy/fabenv/bin/python -m elas

日志对于运维和研发很重，而时间对于日志很重要，我们在elk里面看到的日志如下：红色标注的时间对我们有啥帮助呢？我做了这个测试，如下，看下服务器时间：这个时间，我敢打赌，都是日志源服务器的，我本地pc的时间和他们不一样。、 、 如上图，我简单画了画， 目前我倾向于认为 kibana里面显示的elasticsearch的日志时间，是filebeat获取到日志的时间，稍微晚于echo写入的时间。

倒叙的模式哈，上面的截图可以看出，虽然慢查询日志已经进入了elasticsearch，但是search field里面并没有展现。说说配置吧。logstash 配置 For mysql 5.7#input {# stdin {# type => "mysql-slow"# codec => multiline {# pattern => "^# User@Host:"

第一天上班，检查各个系统是否工作正常，发现kibana界面显示red。一开始尝试着重启，发现不行。后来查看elasticsearch的data大小，足足有80GB，是不是这个来？使用curl 删掉了一个filebeat的所有索引后，data目录从80GB下降到11GB。但是重启后，依旧显示red。（可能稍微等等会恢复）从网上查询是不是内存不足呢？使用ES_JAVA_OPTS="-Xms2g -Xmx

呵呵，这些字段自己出来了，呵呵。

部署的过程，前前后后花了大概两个小时，主要还是手生，遇到的几个坑如下。e 的运行依赖java8，而且对于fd等会有依赖# 调整文件elasticsearch java homeexport PATH=/opt/machtalk/elk/java/bin:$PATHexport JAVA_HOME=/opt/machtalk/elk/java/ulimit -n 65536ulimit -

filebeat 收集java日志默认会把java 空指针这种日志放在不同的条的日志里，看起来十分不舒服，可以简单的配置一下下。配置前: 配置：filebeat.prospectors:- input_type: log paths: - /data/logs/xx/*.log multiline.pattern: '^\[' multiline.negate: true

事情是这样的，今天部署了一套简单的efk， 可是过了一会儿kibanan就看不到数据了，这是咋回事儿呢，查看elasticsearch日志:从网上查看有个命令curl -XPUT xx:9200/_cluster/settings -d '{"persistent" : {"cluster.routing.allocation.disk.threshold_enabled": false}}'可以解

#!/bin/bashshijian=`date +%Y.%m.%d -d "3 days ago"`curl -XDELETE "192.168.0.231:9200/filebeat-${shijian}"

假设我们的日志已经被打上了两个tag，一个是project-test1，另外一个是project-test2，但是我们想在一起看，该如何做呢？tags:/project-test.*/

人生第一次使用kibana，对于搜索，发现引号的作用非常大。比如，有个关键字 ”测试一下下“，如果你直接搜索不加引号，那么测试，一下 这种分词的结果也会被搜索出来，如果加上引号，那么就只会有全部关键字的结果了。 又比如，我们把搜索的结果作为saved ojbects，如果一个page不足以显示所以已经保存的object时，我们也要搜索，这个时候，如果我们有个a-bc，如果直接搜索a-bc会提示没有

实战logstash配置input { #stdin {} beats { port => 5044 }}output { elasticsearch { hosts => ["192.168.126.17:9200"] #index=>"linux-varlog-%{+YYYY.MM.dd}" } st

To fetch all files from a predefined level of subdirectories, the following pattern can be used: /var/log/*/*.log不错哦~

filebeat 直接把数据打到 e里面去，在 elasticsearch-head里面查看会发现， 时间都是UTC时间。没有找到调整显示时区的地方。kibana展示的时候已经加入了本地时间了。

如果从elasticsearch-head ，貌似被分词了，查询起来有时候结果不进人如意。如果从kibana，直接搜索，会搜索出来，但是貌似是个搜索引擎，相关搜索也出来了，但是我们加入双引号后就是完全匹配了。

{ "query": { "match": { "tags": { "query": "xcloud-ncs", "type": "phrase" } } }}

yum install -y npm nodejs

# for elk## /etc/sysctl.confnet.ipv6.conf.all.disable_ipv6=1vm.max_map_count=262144fs.file-max=1000000设置/etc/security/limits.d/20-noproc.conf* - nofile 65536* - noproc 10240普通用户直接重新登录就好了如果不行，可以试试如

自动elasticsearch 5.1.1开始，java必须使用8了，但是一般系统里面默认的是 6 或者 7， 所以如果运行只能单独设置环境变量了.把下面的内容放到elasticsearch可执行文件的头部。* export PATH=/opt/machtalk/e/jdk1.8.0_111/bin:$PATHexport JAVA_HOME=/opt/machtalk/e/jdk1.8.0

node.name: node1path.data: ./datapath.logs: ./logsnetwork.host: 192.168.0.231http.cors.enabled: truehttp.cors.allow-origin: "*"

server.host: "192.168.0.231"elasticsearch.url: "http://192.168.0.231:9200"

日志一共有十几个，一个一个添加太累了，有没有api或者啥办法来？找到了一个， 使用后台，先export everything 看看有啥规律，然后写个脚本生成，然后再import，搞定~~

http://elastalert.readthedocs.io/en/latest/running_elastalert.html#tutorial最近在想，是不是elk里面也有针对日志的关键字一些报警，然后就搜索到了这个项目，从配置上看，可以有关键字设置，先mark下。# From example_rules/example_frequency.yamles_host: elasticsear

#!/usr/bin/python# -*- coding: utf-8 -*from fabric.api import *from fabric.context_managers import *from fabric.contrib.console import confirmfrom fabric.contrib.files import *from fabric.contrib

[2017-09-04T15:08:00,571][INFO ][o.e.c.r.a.DiskThresholdMonitor] [t104] low disk watermark [85%] exceeded on [grRFjvA_SjqjeRbvz5N0bw][t104][/opt/elk/elasticsearch-5.1.1/bin/./data/nodes/0] free: 9.5gb[