logstash收集java日志,多行合并成一行

最新推荐文章于 2022-11-17 14:26:11 发布
最新推荐文章于 2022-11-17 14:26:11 发布
阅读量670 收藏
点赞数
文章标签: java 大数据
原文链接:http://www.cnblogs.com/lovelinux199075/p/9104389.html
版权

使用codec的multiline插件实现多行匹配,这是一个可以将多行进行合并的插件,而且可以使用what指定将匹配到的行与前面的行合并还是和后面的行合并。
1.java日志收集测试

input {
    stdin {
        codec => multiline {
            pattern => "^\["                        //以"["开头进行正则匹配
            negate => true                          //正则匹配成功
            what => "previous"                      //和前面的内容进行合并
        }
    }
}
output {
    stdout {
        codec => rubydebug 
    }
}

2.查看elasticsearch日志,已"["开头

# cat /var/log/elasticsearch/cluster.log 
[2018-05-29T08:00:03,068][INFO ][o.e.c.m.MetaDataCreateIndexService] [node-1] [systemlog-2018.05.29] creating index, cause [auto(bulk api)], templates [], shards [5]/[1], mappings []
[2018-05-29T08:00:03,192][INFO ][o.e.c.m.MetaDataMappingService] [node-1] [systemlog-2018.05.29/DCO-zNOHQL2sgE4lS_Se7g] create_mapping [system]
[2018-05-29T11:29:31,145][INFO ][o.e.c.m.MetaDataCreateIndexService] [node-1] [securelog-2018.05.29] creating index, cause [auto(bulk api)], templates [], shards [5]/[1], mappings []
[2018-05-29T11:29:31,225][INFO ][o.e.c.m.MetaDataMappingService] [node-1] [securelog-2018.05.29/ABd4qrCATYq3YLYUqXe3uA] create_mapping [secure]

3.配置logstash

#vim /etc/logstash/conf.d/java.conf
input {
        file {
                path => "/var/log/elasticsearch/cluster.log"
                type => "elk-java-log"
                start_position => "beginning"
                stat_interval => "2"
                codec => multiline {
                        pattern => "^\["
                        negate => true
                        what => "previous"
                }
        }
}
output {
        if [type] == "elk-java-log" {
                elasticsearch {
                        hosts => ["192.168.1.31:9200"]
                        index => "elk-java-log-%{+YYYY.MM.dd}"
                }
        }
}

4.启动

logstash -f /etc/logstash/conf.d/java.conf -t
systemctl restart logstash

5.head插件查看
1195071-20180529120921568-305241651.png
6.kibana添加日志
1195071-20180529120930734-352389400.png
1195071-20180529120942346-1434064803.png

转载于:https://www.cnblogs.com/lovelinux199075/p/9104389.html

weixin_30668887
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Logstash合并日志一行(Tomcat日志合并和grok处理)
qq_40673345的博客
04-01 2519
tomcat的catalina.out日志如下: [root@localhost logs]# cat to_catalina.log -----------------alarm start------------------------ --------------mail start--------------- -----------------alarm start---------...
java日志合并
12-27
合并两个日子文件File file0=new File("D:\\230.log"); File file1=new File("D:\\231.log"); File file=new File("D:\\1.log"); BufferedReader reader0=null; BufferedReader reader1=null; BufferedWriter writer=null;
ELK下logstash收集java日志,多合并一行
qq_40907977的博客
04-22 2485
介绍 使用codec的multiline插件实现多匹配,这是一个可以将多合并的插件,而且可以使用what指定将匹配到的与前面的合并还是和后面的合并。 1.java日志收集测试 input { stdin { codec => multiline { pattern => "^\[" //以"["开头进正则匹配 negate => tru...
logstash 和 filebeat多日志 合并
cagezxy的博客
11-17 2043
filebeat logstash 配置多日志 合并
logstash java异常_logstash合并java日志异常
weixin_35411438的博客
02-13 508
{"message" => "[2016-11-01 16:48:24,946] [ERROR] c.b.t.biz.back.billing.BillingBiz 200 -- [f8b9e646-363e-4976-ac83-944a99e159ac] failed transferFee EXCEPTION :c.b.t.m.common.exception.FrontParamExc...
logstash合并
weixin_34178244的博客
12-22 554
logstash的输出中,每日志开头都会加上timestamp.,对于mysql的slowlog和tomcat log多输出格式,就显得画蛇添足了,可读性很差,如:因此需要使用logstash的multiline 多合并功能在logstash的配置文件中加入过滤规则:filter{ #slowlog每一段完整的日志都是以"#Time:"开头的,所以,如果是...
ELK详解(十二)——多日志收集
永远是少年
04-07 1301
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash的多日志收集。 一、Logstash日志收集新问题 二、Logstash配置详解 三、效果展示
正则连续匹配多
weixin_34249367的博客
09-29 390
2019独角兽企业重金招聘Python工程师标准>>> ...
filebeat 收集java堆栈日志匹配失效
cajole_zero的博客
02-25 2708
使用高版本的filebeat时,inputs的类型支持filestream,此类型必须按照以下配置才可生效 filebeat.inputs: - type: filestream enabled: true paths: - /data/logs/error/*api.log.* fields: service_name: api level: error fields_under_root: true parsers: - ndjson:
logStash对于多日志合并(四)
千里之行始于足下
01-18 3619
日志总是免不了出异常 ,或者开发人员打出的日志 是json格式 多的就需要对 日志合并 ,这个很常用 ,之后我会再开一个flume合并的情况 诸如此类的日志:[ERROR] [] 2017-10-23 09:34:37,855 操作超时,请重新登录 com.*****.*******.exception.MobileException: 操作超时,请重新登录 at com.*
wLogger:wLogger是一套集合,日志记录持久化存储,网络流量实时监控。三位一体的网络服务流量监控应用。三大功能模块可以独立部署启用互不干扰。目前已内置nginx和apache的日志解析快照。 ,简单配置一下,开箱即用
03-30
介绍 wLogger介绍 介绍 wLogger是一套集合,日志记录持久化存储,网络流量实时监控。三位一体的网络服务流量监控应用。三大功能模块可以独立部署启用互不干扰。目前已内置nginx和apache的日志解析快照。 ,简单配置一下,开箱即用。 它可以在日志记录的时候可以按照日志文件的大小,或者在指定时间自动对日志切割日志,存储到指定的目录(已测2W并发切割日志不丢数据) 它可以不用像goaccess那样必须配置指定格式才能解析到数据,只用指定当前使用的nginx / apache日志格式名称即可解析数据 它可以指定不同的项目走不同的子系统服务,分别解析存储到不同的数据库,完全可以自己按需灵活配置 它天然的支持分布式,日志采集服务已被内置到redis LIST结构中,进扩展kafka,mq等其他级别的服务 它支持自定义持久化存储引擎,日志解析持久化存储服务已内置mongodb和mys
Logstash日志一行日志
珊瑚海的博客
05-09 8853
我们在用Logstash收集日志的时候会碰到日志会错,这个时候我们需要把错的归并到上一行,使某条数据完整;也防止因为错导致其他字段的不正确。 在Logstash-filter插件中,multiline插件可以解决这个问题,举个例子如下: 假如我们的日志形式如下: 2016-04-05 13:39:52.534 1.28.253.193 20160311090433074f5b47c04
日志合并处理的内外存方法
chianju1936的博客
09-24 217
上一讲中,我们介绍了如何用SPL将一行日志结构化为一条记录,今天则要说一下多日志对应一条记录的情况,我们称之为不定日志。 事实上,集算器自己的输出日志就是这种不定日志,我们来看一下集算器节点机下的一个日志文件rqlog. log,同样摘录两段日志: [2018-05-14 09...
网站流量日志系统知识详解----【点击流事件详解】
CoderBoom的博客
11-21 2921
网站流量日志数据分析系统知识详解 1. 点击流数据模型 1.1 点击流概念 点击流(Click Stream)是指用户在网站上持续访问的轨迹。可以通过对网站日志的分析可以获得用户的点击流数据。 1.2 点击流模型生 点击流数据在具体操作上是由散点状的点击日志数据梳理所得。点击数据在数据建模时存在两张模型表 Pageviews和 visits,例如: 原始访问日志表 时间戳 IP URL...
logstash 解析多日志
weixin_34026484的博客
08-08 1437
为什么80%的码农都做不了架构师?>>> ...
走进Java接口测试之整合ELK实现日志收集
Mo小泽的技术博客
09-22 4246
文章目录走进Java接口测试之整合ELK实现日志收集一、前言二、ELK 中各个服务的作用三、使用 Docker Compose 搭建 ELK 环境1、需要下载的 Docker 镜像2、搭建前准备2.1、下载 Docker Compose2.2、修改该文件的权限为可执2.3、查看是否已经安装功3、开始搭建3.1、创建一个存放 logstash 配置的目录并上传配置文件3.2、使用 docker-compose.yml 脚本启动 ELK 服务3.3、在 logstash 中安装 json_lines 插件.
如何将filebeat采集到的数据传到logstash时将日志文件多合并
最新发布
05-31
可以使用filebeat的multiline选项来处理多日志合并的问题。在filebeat配置文件中,可以设置multiline选项,以指定需要合并的多日志的正则表达式模式。具体步骤如下: 1. 打开filebeat配置文件,找到filebeat.inputs部分。 2. 在需要处理多日志合并的输入配置中添加multiline选项,设置需要合并的多日志的正则表达式模式。例如: ``` filebeat.inputs: - type: log paths: - /path/to/logs/*.log multiline.pattern: '^\[' multiline.negate: true multiline.match: after ``` 这个配置将合并以'['开头的日志,直到下一行以'['开头。 3. 保存并重启filebeat以使配置生效。 4. 在logstash中,可以在input的codec选项中使用multiline选项来解析多日志。例如: ``` input { beats { port => 5044 codec => multiline { pattern => '^\[' negate => true what => 'previous' } } } ``` 这个配置将使用同样的正则表达式模式来解析多日志,直到下一行以'['开头。 注意:在使用multiline选项时,需要确保日志文件的格式是一致的,否则可能会出现一些不可预知的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值