elk php slowlog,elk日志收集之rsyslog软连接监控文件深度坑

最新推荐文章于 2022-12-16 17:07:21 发布
最新推荐文章于 2022-12-16 17:07:21 发布
阅读量113 收藏
点赞数
文章标签: elk php slowlog

业务中通过rsyslog监控本地文件收集了一些redis和mc的慢日志,推到elk集群分析,这些日志一天一个文件,每晚零点5分通过计划任务用软连接的方式将新的文件固定到指定文件下,但是最近发现日志丢了很多,分析中发现了一个深坑,先说下现有的配置:

rsyslog的配置如下,监控固定的文件:

local6.*                                                  @r-log.cms.sina.cn:1514

main_queue(

queue.workerthreads="10"      # threads to work on the queue

queue.dequeueBatchSize="1000" # max number of messages to process at once

queue.size="50000"           # max queue size

)

module(load="imfile")

module(load="omkafka")

$PreserveFQDN on

############################ php curl log #####################################

input(type="imfile"

File="/data1/ms/log/php_common/php_slow_log"

Tag="tag1"

Facility="local5"

freshStartTail="on"

deleteStateOnFileDelete="off"

reopenOnTruncate="on"  ##日志切割Rsyslog不去读取文件,使用此选项

)

local5.*                                                  @r-log.cms.sina.cn:1515

########################## redis log  ########################################

$template redislog7215,"%$myhostname%`redis7215`%msg%"

ruleset(name="redislog7215") {

action(

broker=["10.13.88.190:9092","10.13.88.191:9092","10.13.88.192:9092","10.13.88.193:9092"]

type="omkafka"

topic="redis-log"

template="redislog7215"

partitions.auto="on"

)

}

input(type="imfile"

File="/data1/ms/log/front/redis7215.log"

Tag=""

ruleset="redislog7215"

freshStartTail="on"

reopenOnTruncate="on"

)

$template redislog7216,"%$myhostname%`redis7216`%msg%"

ruleset(name="redislog7216") {

action(

broker=["10.13.88.190:9092","10.13.88.191:9092","10.13.88.192:9092","10.13.88.193:9092"]

type="omkafka"

topic="redis-log"

template="redislog7216"

partitions.auto="on"

)

}

input(type="imfile"

File="/data1/ms/log/front/redis7216.log"

Tag=""

ruleset="redislog7216"

freshStartTail="on"

reopenOnTruncate="on"

)

$template redislog7242,"%$myhostname%`redis7242`%msg%"

ruleset(name="redislog7242") {

action(

broker=["10.13.88.190:9092","10.13.88.191:9092","10.13.88.192:9092","10.13.88.193:9092"]

type="omkafka"

topic="redis-log"

template="redislog7242"

partitions.auto="on"

)

}

input(type="imfile"

File="/data1/ms/log/front/redis7242.log"

Tag=""

ruleset="redislog7242"

freshStartTail="on"

reopenOnTruncate="on"

)

$template redislog7243,"%$myhostname%`redis7243`%msg%"

ruleset(name="redislog7243") {

action(

broker=["10.13.88.190:9092","10.13.88.191:9092","10.13.88.192:9092","10.13.88.193:9092"]

type="omkafka"

topic="redis-log"

template="redislog7243"

partitions.auto="on"

)

}

input(type="imfile"

File="/data1/ms/log/front/redis7243.log"

Tag=""

ruleset="redislog7243"

freshStartTail="on"

reopenOnTruncate="on"

)

#################### mc .log ###############################

$template mc40016,"%$myhostname%`mc40016`%msg%"

ruleset(name="mc40016") {

action(

broker=["10.13.88.190:9092","10.13.88.191:9092","10.13.88.192:9092","10.13.88.193:9092"]

type="omkafka"

topic="cms-front-mc"

template="mc40016"

partitions.auto="on"

)

}

input(type="imfile"

File="/data1/ms/log/front/memcached_get_err_40016.log"

Tag=""

ruleset="mc40016"

freshStartTail="on"

reopenOnTruncate="on"

)

$template mc40023,"%$myhostname%`mc40023`%msg%"

ruleset(name="mc40023") {

action(

broker=["10.13.88.190:9092","10.13.88.191:9092","10.13.88.192:9092","10.13.88.193:9092"]

type="omkafka"

topic="cms-front-mc"

template="mc40023"

partitions.auto="on"

)

}

input(type="imfile"

File="/data1/ms/log/front/memcached_get_err_40023.log"

Tag=""

ruleset="mc40023"

freshStartTail="on"

reopenOnTruncate="on"

)

每晚凌晨5分进行计划任务切换,计划任务与脚本如下:5 0 * * * root sh /usr/local/script/elkslowlog.sh &> /dev/null

#!/bin/bash

DATE=`date +%F`

DATE2=`date +%Y%m%d`

ln -sf  /data1/ms/log/php_common/curl-$DATE  /data1/ms/log/php_common/php_slow_log

ln -sf /data1/ms/log/front/redis7215.$DATE2.log /data1/ms/log/front/redis7215.log

ln -sf /data1/ms/log/front/redis7216.$DATE2.log /data1/ms/log/front/redis7216.log

ln -sf /data1/ms/log/front/redis7242.$DATE2.log /data1/ms/log/front/redis7242.log

ln -sf /data1/ms/log/front/redis7243.$DATE2.log /data1/ms/log/front/redis7243.log

ln -sf /data1/ms/log/front/memcached_get_err_40023.$DATE2.log /data1/ms/log/front/memcached_get_err_40023.log

ln -sf /data1/ms/log/front/memcached_get_err_40016.$DATE2.log /data1/ms/log/front/memcached_get_err_40016.log

问题分析:看着似乎没什么问题,但分析后发现,同样的收集方法,curl的php_slow_log就没有问题,丢日志的mc和redis有个共同特点,就是量不大,有时候半个小时可能就有1条,继续考虑其中的不同,于是想到,可能就是在零点5分创建超连接的瞬间,当天的日志文件还未生成,也就是建立了一个空连接,后面当日志文件真的生成后,rsyslog未检测到超连接对应文件的变化,所以一天的日志都没有,于是测试,果然如此,测试过程不说了。

解决方案:修改脚本文件,在创建超连接时,检测当天日志文件是否生成,如未生成,用echo写入一个空行(空行不会影响收集)生成文件,再进行超连接转换,脚本修改如下#!/bin/bash

DATE=`date +%F`

DATE2=`date +%Y%m%d`

echo >> /data1/ms/log/php_common/curl-$DATE && ln -sf  /data1/ms/log/php_common/curl-$DATE  /data1/ms/log/php_common/php_slow_log

echo >> /data1/ms/log/front/redis7215.$DATE2.log && ln -sf /data1/ms/log/front/redis7215.$DATE2.log /data1/ms/log/front/redis7215.log

echo >> /data1/ms/log/front/redis7216.$DATE2.log && ln -sf /data1/ms/log/front/redis7216.$DATE2.log /data1/ms/log/front/redis7216.log

echo >> /data1/ms/log/front/redis7242.$DATE2.log && ln -sf /data1/ms/log/front/redis7242.$DATE2.log /data1/ms/log/front/redis7242.log

echo >> /data1/ms/log/front/redis7243.$DATE2.log && ln -sf /data1/ms/log/front/redis7243.$DATE2.log /data1/ms/log/front/redis7243.log

echo >> /data1/ms/log/front/memcached_get_err_40023.$DATE2.log && ln -sf /data1/ms/log/front/memcached_get_err_40023.$DATE2.log /data1/ms/log/front/memcached_get_err_40023.log

echo >> /data1/ms/log/front/memcached_get_err_40016.$DATE2.log && ln -sf /data1/ms/log/front/memcached_get_err_40016.$DATE2.log /data1/ms/log/front/memcached_get_err_40016.log

好了,问题圆满解决。

最后于 2019-7-12

被矢量比特编辑

,原因:

weixin_39618824
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ELK实战二:日志收集利器rsyslog
qiezikuaichuan的专栏
11-24 1万+
http://www.weblnn.com/c/146.html ELK实战二:日志收集利器rsyslog   开源框架    领男   2016-10-20   9浏览 目录(?)[+] rsyslog 无论在性能还是部署上都优于其它日志收集应用,因系统自带,需要新功能只需要做升级即可,方便部署! 一、Rsyslog特性 Multi-
PHP + ELK实现日志记录
小高工作室
11-28 541
2.我操作是操作单文件,full.conf可以吧file里面的path替换成文件夹下面的* 即是:/www/test_log/* 这样的意思是获取所有文件。1.我获取的是单行数据,不管是字符串还是数据还是对象类型都转成json格式。这样的好处是方便,不用编写正则匹配多行数据。logstash通过实践戳获取到用户的变更,取出最后一行数据,发送给es。在业务代码里面操作函数写入日志.log。es获取到数据在kibana展示。开启logstash服务之后。一个简单的PHP 文件。full.conf文件
ELK群集部署日志收集
weixin_55015185的博客
12-16 860
生产中使用得多
rsyslog服务监控web日志
weixin_51952605的博客
01-14 1367
rsyslog服务配置 1.nginx做为web服务器 用rsyslog监控日志 2.两台Centos7 A安装rsyslog B安装nginx rsyslog B: 一、nginx 1.安装 安装依赖关系 yum -y install pcre pcre-devel zlib zlib-devel openssl openssl-devel 解压件包 配置安装 创建用户 优化路径 查看版本号 tar -zxf nginx-1.6.2.tar.gz cd nginx-1.6.2/ ./confi
05-ELK日志监控收集及网站流量监控实战.docx
04-26
有一个问题:如何收集海量服务器节点上的日志,进行分析,处理? 1、监控服务器状态 2、收集一些有用的数据,进行分析。 数据分析: 1、ELK 一周时间搞定的东西 2、hadoop 一个月都搞不定 E: elasticsearch 存储...
Docker安装ELK并实现JSON格式日志分析的方法
01-10
ELK是elastic公司提供的一套完整的日志收集以及前端展示的解决方案,是三个产品的首字母缩写,分别是ElasticSearch、Logstash和Kibana。 其中Logstash负责对日志进行处理,如日志的过滤、日志的格式化等;Elastic...
ELK:NOC ELK + FORTINET日志
05-10
ELK设置来监视Fortigate日志===============================================工具麋鹿[如何安装ELK泊坞窗]( ) 抵制配置Fortigate SysLog 第一步是配置Fortigates。 这是Syslog格式: config log syslogd setting ...
微服务日志收集系统-ELK+Kafka相关安装文件
最新发布
05-30
微服务日志收集系统-ELK+Kafka相关安装文件,对应我的微服务博客; 包含Elasticsearch安装资料、Kafka安装资料、Kibana安装资料、Logstash安装资料; Dockerfile、配置文件、安装包等
ELK日志收集系统操作手册.docx
03-03
ELK日志收集系统操作手册,详细讲解了elk组件使用方式
最简单的系统日志收集方式 elk + rsyslog客户端
很长很长的专栏
05-03 7147
收集系统日志是做监控的基础,本文章用rsyslog+elk收集系统日志 原理图: ryslog 配置 ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地 vim /etc/rsyslog.conf 找到 #*.* @@remote-host:514 修改 #*
PHP日志 ELK+FileBeat收集
很长很长的专栏
05-02 3567
本文主要讲述的是php日志收集至elasticsearch 收集流程: 本文不提供安装教程 主要配置: Filebeat配置 filebeat 涉及多行配置所以要使用 multiline pattern:正则表达式 negate:true 或 false;默认是false,匹配pattern的行合并到上一行;true,不匹配pattern的行
ELK实时日志分析系统
读万卷书,行万里路
04-30 1138
Elasticsearch + Filebeats + Logstash + Kinaba 配置 :慕课网的内容 日志系统:看云上的内容,五月必须学完
ELK 上手4 安装filebeat并读取ThinkPHP5日志写入logstash
编程圈子-谢厂节的博客
12-31 1326
ELK 上手4 安装filebeat并读取日志写入Redis一、准备环境二、安装filebeat启动调试 一、准备环境 CentOS 已安装redis 二、安装filebeat 官网下载地址: https://www.elastic.co/cn/downloads/beats/filebeat cd ~/home https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.16.2-linux-x86_64.tar.gz tar -x
elk】网络设备syslog日志收集
机智的埃努
11-15 5722
文章目录概述日志源配置防火墙开启日志交换机开启日志日志主机配置rsyslogdocker、filebeat 概述 本文描述将网络日志(会话日志,操作日志等)以syslog方式保存到elk日志服务器集群中及日志展示的实现。 日志源配置 首先对日志源即网络设备进行配置,以下列举华为防火墙及交换设备 防火墙开启日志 防火墙日志配置(另在策略中也要开启日志记录功能,图略) 交换机开启日志 info-center source default channel 4 log level error info-cente
ubuntu rsyslog mysql_Ubuntu下rsyslog审计用户bash操作命令、收集、写入MySQL
weixin_30878111的博客
02-22 223
服务端2台服务端:10.25.109.64、10.45.18.1331、rsyslog最新版本安装sudo add-apt-repository ppa:adiscon/v8-stablesudo apt-get updatesudo apt-get install rsyslog2、安装数据库apt-get install rsyslog-mysql mysql-server -y#安装过程中会...
Linux中阶—日志采集rsyslog(二)
亓荼的博客
04-19 2203
#rsyslog件定义: rsyslog是多线程、高并发、模块化的日志系统,rsyslog的消息流是从输入模块->预处理模块->主队列->过滤模块->执行队列->输出模块。#件架构如下: Input模块包括imklg、imsock、imfile、imtcp、imudp 等,是消息来源; Queue模块负责消息的存储,从Input传入的未经过滤的消息放在主队列中; Filetr模块处理消息的分析和过滤,rsyslog可以根据消息的任何部分进行过滤; action qu
rsyslog 直接读取日志,当日志截断后,不会继续发送
weixin_30699741的博客
08-04 461
rsyslog web机器上日志被截断,那么就不会发送到rsyslog服务器 因为imfile记录了offset,然后你直接>导致offset还没到 转载于:https://www.cnblogs.com/zhaoyangjian724/p/6199427.html...
流量监控 springboot ELK
02-22
ELK 是一套开源的日志管理和分析平台,由 Elasticsearch、Logstash 和 Kibana 组成,可以用于实时地收集、存储、搜索、分析和可视化各种类型的日志数据。 在 Spring Boot 中使用 ELK 进行流量监控的步骤如下: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值