实时日志监控系统

最新推荐文章于 2024-06-16 23:03:29 发布
最新推荐文章于 2024-06-16 23:03:29 发布
阅读量3.4k 收藏 2
点赞数
分类专栏: filebeat es kafka logstash 监控报警 文章标签: 监控报警 运维自动化 日志收集
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangwenjie2500/article/details/89598977
版权
es 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
kafka
1 篇文章 0 订阅
订阅专栏
logstash
1 篇文章 0 订阅
订阅专栏

前言

作为运维每天都需要关注主站的5xx,4xx情况以及那个接口的问题,之前的做法是通过nginx 本身的health模块获取当前访问量然后分析之后写入influxdb里面,grafana用来读取 5xx出图,并且每分钟把5xx写入到openfalcon里面作为阈值报警但是这样还是不是实时的,并且出现问题好要自己去过滤nginx日志太麻烦。

第一版结构

所有的API日志通过rsyslog 打到logserver上,然后部署 一个logstash对日志目录进行分析过过滤出5xx和做GEOIP替换写入到es里面,这么做之后日常没有出现大规模的问题还好,一旦出现突发的5xx或者4xx事件,就会造成写入es的延时增大,这个时候快速报警系统从es里面读5xx和接口就会失效。

input {
 file {

   path => "/data/logs/nginx/*/One/*.log"
   codec => json
   discover_interval => "10"
   close_older => "5"
   sincedb_path => "/data/logs/.sincedb/.sincedb"

 }
}
filter {
if [clientip] != "-" {
  geoip {
     source => "clientip"
     target => "geoip"
     database => "/usr/local/logstash-6.5.4/config/GeoIP2-City.mmdb"
     add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
     add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
  }
    mutate {
      convert => [ "[geoip][coordinates]","float"]
    }
}
}
output {
  if [status] in ["500","502","404","401","403","499","504"]  {

     elasticsearch {
       hosts => ["172.16.8.166:9200"]
       index  => "logstash-nginx-%{+YYYY.MM.dd}"
     }
     stdout {
        codec => rubydebug
     }
 }
}

第二版结构
前端改为filebeat全量去读日志,每小时日志大概25G左右,(如果用filebeat官网的性能是跟不上的,后来在网上找到了一个优化过的filebeat,作者实测25MB/s的速度),后面接一个kafka集群,创建了一个8分区的topic.然后后面挂2个logstash节点,通过下图可以看到低峰期有8.5K的QPS,峰值大概有13K左右,证明filebeat完全能够hold的住当前的数据量,那么如果再有延时的情况,只需要增加logstash节点和es节点就足够了,扩容很方便,目前2个logstash的读取能够完全hold住
在这里插入图片描述
filebeat的配置,之前也尝试过filebeat直接写多个logstash结果发现性能还没第一版好

filebeat.registry_file: "/srv/registry"
filebeat.spool_size: 25000
filebeat.publish_async : true
filebeat.queue_size: 10000


filebeat.prospectors:
- input_type: log
 paths:
 - /data/logs/nginx/*/One/*.log
 scan_frequency: 1s
 tail_files: true
 idle_timeout: 5s
 json.keys_under_root: true
 json.overwrite_keys: true
 harvester_buffer_size: 409600
 enabled: true

output.kafka:
 hosts: ["in-prod-common-uploadmonitor-1:9092"]
 topic: "nginxAccessLog"
 enabled: true

logstash配置

input {
  kafka {
     bootstrap_servers => "in-prod-common-uploadmonitor-1:9092"
     client_id => "logstash_nginx_log_group1"
     group_id => "logstash_nginx_log_group"
     consumer_threads => 2
     decorate_events => true
     topics => ["nginxAccessLog"]
     codec => "json"
  }
}
filter {
  if [clientip] != "-" {
    geoip {
       source => "clientip"
       target => "geoip"
       database => "/usr/local/logstash/config/GeoIP2-City.mmdb"
       add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
       add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
    }
      mutate {
        convert => [ "[geoip][coordinates]","float"]
      }
  }
}
output {
    if [status] in ["500","502","404","401","403","499"]  {
       elasticsearch {
         hosts => ["172.16.8.166:9200"]
         index  => "logstash-nginx-%{+YYYY.MM.dd}"
       }
       stdout {
          codec => rubydebug
       }
   }
}

kibana实时5xx,4xx地区分布和主机接口图
在这里插入图片描述
通过报警工具实时去拉最新的5xx进行接口预报,可以做到秒级别的报警,这样运维的工作就大大的降低了
在这里插入图片描述

名字怎么都没了
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于ELK搭建网站实时日志监控平台
weixin_40055163的博客
10-25 2361
基于ELK搭建网站实时日志监控平台 1 为什么要用到ELK 早在传统的单体应用时代,查看日志大都通过SSH客户端登服务器去看,使用较多的命令就是 less 或者 tail。如果服务部署了好几台,就要分别登录到这几台机器上看,等到了分布式和微服务架构流行时代,一个从APP或H5发起的请求除了需要登陆服务器去排查日志,往往还会经过MQ和RPC调用远程到了别的主机继续处理,开发人员定位问题可能还需要根据TraceID或者业务唯一主键去跟踪服务的链路日志,基于传统SSH方式登陆主机查看日志的方式就像图中排查线路的工
实时监控系统介绍
u010927776的博客
03-23 2914
在大型系统的维护中,实时监控对于开发人员了解系统情况,排查系统问题至关重要。本文不会介绍这类实时监控的实现原理(有兴趣的可以去找相关开源软件,如OpenTSDB),只是从一个开发人员的角度阐述如何理解并正确使用这类监控系统。注:如果你有过使用这类监控系统的经历,可能会更清楚我要说明的问题。一、从两个有意思的问题开始之所以写这篇文章,是因为最近遇到了两个系统问题,都是看监控与实际数据表现不符,觉得还...
监听监听日志实时读取日志文件,把读取到的数据入库
li_shi_chao的博客
06-12 5013
1:MyListener.javaimport java.io.File;import javax.servlet.ServletContextEvent; import javax.servlet.ServletContextListener;import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFa
2019-12-05 实时监听日志文件
aftermetyou的博客
12-05 46
例: tail -10f app/log/s2b2c.log
全面解析K8s日志监控:三种最佳实践详解
最新发布
zgt_certificate的博客
06-16 934
如果日志量不大且可以输出到stdout和stderr,可以选择第一种方式。当容器日志可以输出到某些文件时,可以通过一个Sidecar容器来读取这些日志文件,并将其重定向到stdout和stderr,然后再使用第一种方式将日志收集到Fluentd。这种方式是将Fluentd容器直接部署在Pod中,通过Sidecar容器将应用程序的日志直接发送到远端存储中,如Elasticsearch。这个示例通过一个Sidecar容器读取应用程序的日志文件,并将日志重新输出到Fluentd容器的stdout和stderr。
监控系统日志可视化监控体系ELK搭建
互联网小阿祥
11-20 2266
日志可视化监控体系ELK搭建
Filebeat, Kafka, Logstash, ElasticSearch: 构建实时日志监控系统
weixin_54104864的博客
08-02 299
近年来,大数据的处理和分析变得越来越重要。: Filebeat是一个轻量级的、开源的日志文件数据搬运工具,可以监控收集日志数据,然后迅速发送给Logstash进行解析,或者直接发送给Elasticsearch进行索引。通过这样的系统,我们可以实现实时日志收集、处理和分析,及时发现和处理系统的问题,对业务运行情况进行实时监控,提高系统的稳定性和用户的体验。: Elasticsearch是一个开源的分布式搜索和分析引擎,适用于所有类型的数据,包括文本、数值、地理、结构化和非结构化数据。
实时日志监控系统.docx
06-28
实时日志监控系统是一种用于实时监控和分析系统运行过程中产生的日志信息的工具,其主要目的是及时捕获异常情况并迅速通知运维人员,确保系统的稳定运行。系统的关键技术包括Flume、RocketMQ、JStorm以及HBase,这些...
实时日志监控系统 log.io.zip
09-17
实时日志监控系统log.io是一款基于JavaScript开发的开源工具,专为解决在大规模分布式系统中对日志进行集中管理和实时监控的问题。它提供了一个统一的界面,让你能够轻松地查看和分析来自多台服务器和不同应用程序的...
日志监控系统源码
04-17
首先,日志监控系统的核心任务是对日志数据进行实时监控。系统设计时,需要设定一系列监控规则,这些规则通常涵盖错误级别、异常行为、特定关键字等多个维度。当日志内容触发某条规则时,系统会自动触发告警机制,...
Python 实时日志监控
08-13
通过阅读和学习这个脚本,我们可以深入了解如何在Python环境中构建一个实时日志监控系统。 总之,Python 实时日志监控涉及到的知识点包括Python `logging`模块的使用、日志处理器的选择与配置、第三方库如`loguru`...
wintail日志实时监控工具
08-31
wintial,著名的日志监控工具,这个是绿色破解版的,打开就能用
python实时监控logstash日志代码
09-16
通过 Python 编写的监控脚本,我们可以实现高效、灵活的日志监控。 以下是对代码中关键部分的详细解释: 1. **配置文件管理**:脚本使用 `readconf()` 和 `writeconf()` 函数来处理配置文件 `conf.ini`。配置文件...
记录监控日志数据
ITmoster的博客
05-22 926
EventLog Analyzer是一款全面的日志管理软件,使管理员能够集中收集,分析和管理来自网络中所有不同日志源的日志。管理员还可以获得有关网络安全的报告和警报,具有应用程序审计、安全分析和日志管理等功能,满足管理员所有日志管理需求,使其成为功能强大的 IT 安全工具。
5 个适用于 Linux 的开源日志监控和管理工具
冷冻工厂
11-21 2917
建议的做法是保持此文件不变,而是通过复制原始配置文件,然后定义自定义设置,在 /etc/logwatch/conf/ 路径中创建您自己的配置文件。您可以让 Logstash 监听管道的大量数据源,包括 SNMP、心跳、Syslog、Kafka、puppet、Windows 事件日志等。它与 Elasticsearch 分析引擎集成,并利用 MongoDB 存储数据,收集日志提供深入的见解,有助于排除系统故障和错误。您可以想象必须查看多个系统区域和应用程序的日志文件,这就是日志记录系统派上用场的地方。
【详解】 ELK (ElasticStack) 实现日志监控
热门推荐
weixin_47255175的博客
05-10 1万+
目录 ElasticStack 介绍: Demo 实现 说在前面 案例实现流程图 创建Spring Boot 项目 项目部署、运行 Logstash配置 FileBeat配置 ES配置 Kibana配置 最终效果 前言 关于日志监控日志管理,对于任何一个成型的系统来说都是必不可少的,之前使用Commons-IO实现过日志监控功能,实践告诉我们这个过程很繁琐,当然,并不是难实现的意思。最终是数据存在MongoDB,可是实际应用中一般没人选择这种方式。但听说ElasticS..
美团高性能终端实时日志系统建设实践
weixin_45583158的博客
11-07 710
你是否经常遇到线上需要日志排查问题但迟迟联系不上用户上报日志的情况?或者是否经常陷入由于存储空间不足而导致日志写不进去的囧境?本文介绍了美团是如何从0到1搭建高性能终端实时日志系统,从此彻底解决日志丢失和写满问题的。希望能为大家带来一些帮助和启发。1 背景1.1 Logan 简介1.2 Logan 工作流程1.3 为什么需要实时日志?1.4 Logan 实时日志是什么?2 设计实现2.1 整体架构...
缺乏实时日志监控:未能实时监控日志以快速响应潜在威胁
ZOMO的博客
12-31 822
随着网络技术的飞速发展,越来越多的企业开始依赖网络系统来实现其业务目标。在这个过程中,网络防火墙作为保护网络安全的重要手段,起到了至关重要的作用。然而,如果企业的防火墙策略管理不当,就无法及时有效地发现和应对潜在的网络安全威胁。本文将探讨缺乏实时日志监控所带来的安全问题以及相应的解决方案。
如何在Linux系统上实时监控带有关键字的日志
weixin_44821965的博客
04-09 2491
如何在Linux系统上实时监控带有关键字的日志
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值