前面讲了如何搭建EFK集群,但是在工作中使用并非只是搭建好集群这么简单,更多的是去实用性。在工作中使用日志监控系统,我们最好能做到快速发现问题的要求。本次就深入讲解一下针对多个tomcat服务的日志监控以及对特殊字符过滤的配置。
需求:需要监控tomcat日志,过滤出ERROR和WARN日志。
实现:
[root@hostlocal filebeat-7.8.0-linux-x86_64]$ vim filebeat.yml
- type: log
enabled: true
paths:
- /root/tomcat-main/logs/log
include_lines: ['ERROR', 'WARN']
tags: ["tomcat-main"]
multiline.pattern: ^\d{4}-\d{2}-\d{2}
multiline.negate: true
multiline.match: after
- type: log
enabled: true
paths:
- /root/tomcat-third/logs/log //日志路径
include_lines: ['ERROR', 'WARN'] //需要过滤的关键字
tags: ["tomcat-third"] //设置tag,方便归类识别
multiline.pattern: ^\d{4}-\d{2}-\d{2} //正则,日期开头
multiline.negate: true
multiline.match: after
重启一下filebeat,即可查看过滤出含有关键字的日志信息。
此时,我们为了区分服务,可以将filebeat.yml中定义的tag加入显示界面,方便识别。
操作如下:
如下图,我们就可以看到过滤出关键信息的日志界面。方便开发或者运维人员查看错误日志,不需要登录服务器查看。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
