ELK详解(十二)——多行日志收集

最新推荐文章于 2023-08-10 09:44:59 发布
最新推荐文章于 2023-08-10 09:44:59 发布
阅读量1.2k 收藏 2
点赞数 4
分类专栏: 自动化运维 文章标签: Logstash ELK codec multiline Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40228200/article/details/124001870
版权

今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash的多行日志收集。

一、Logstash日志收集新问题

在前文ELK详解(八)——Logstash收集系统日志实战ELK详解(九)——Logstash多日志收集实战ELK详解(十)——Logstash收集Tomcat日志实战几文中,我们使用Logstash进行了日志收集实战,已经可以通过Logstash收集指定的日志,并且将其输出到我们Elasticsearch集群上,并最终在Kibana上显示。
今天,我们要讨论一些特殊日志的Logstash收集方式。以ELK日志为例,其中一个日志片段如下所示:
在这里插入图片描述
可以看出,在上图中红圈部分,是一些JAVA(事实上,ELK就是依赖于JAVA环境而,所以才有JAVA的报错)的报错信息。这些信息分了多行列出,但是这些信息却在本质上算一条“日志信息”。因此,我们希望Logstash在日志收集的时候,把这些信息看做一条日志信息来进行收集。事实上,这种日志格式是非常常见的,几乎所有基于JAVA开发的项目,都面临这样的问题。
为解决上面的问题,我们需要重新指定划分日志的依据,观察上面的日志格式,我们可以发现,每一条日志,基本上都是以换行符加上左中括号开头的,基于这种规则,我们就可以正确的划分日志,解决上述问题。而这种划分原理的实现,依托于Logstash中codec模块的multiline插件。

二、Logstash配置详解

首先,我们先来写一下Logstash的配置文件,内容如下:

input{
        file{
                path=>"/var/log/elasticsearch/my-elk.log"
                type=>"elk"
                start_position=>"beginning"
                stat_interval=>"5"
                codec=>multiline{
                        pattern=>"^\["
                        negate=>"true"
                        what=>"previous"
                }
        }
}

output{
        elasticsearch{
                hosts=>["192.168.136.101:9200"]
                index=>"elk-log-%{+YYYY.MM.dd}"
        }
}

在上述配置中,input输入使用了codec的multiline插件,里面有3个参数,pattern参数指定了匹配的模式,“^”表示开头,“\”表示转义,“[”为左中括号的意思;negate表示匹配成功的操作,相反,若想设置为匹配失败,则可以将negate设置为false;what为previous表示与之前的内容进行合并,如果想要设置为和之后的内容合并,可以将该值设置为next。
在完成上述配置后,我们执行命令:

logstash -f /etc/elasticsearch/conf.d/elk-log.conf

用于执行日志收集命令。

三、效果展示

最后,我们来检验一下刚才配置的结果。
执行完日志收集后,我们来到Elasticsearch上,查看发现有指定的日志,结果如下所示:
在这里插入图片描述
接下来,我们前往Kibana上查看日志信息,发现包含JAVA报错(告警)信息的日志已经称为了单个日志,不再分裂,结果如下:
在这里插入图片描述
由此可见,我们的Logstash多行日志收集成功!
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200

永远是少年啊
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
集中式日志系统ELK协议栈详解
02-24
在我们日常生活中,我们经常需要回顾以前发生的一些事情;或者,当出现了一些问题的时候,可以从某些地方去查找原因,寻找发生问题的痕迹。无可避免需要用到文字的、图像的等等不同形式的记录。用计算机的术语表达,就是LOG,或日志日志,对于任何系统来说都是及其重要的组成部分。在计算机系统里面,更是如此。但是由于现在的计算机系统大多比较复杂,很多系统都不是在一个地方,甚至都是跨国界的;即使是在一个地方的系统,也有不同的来源,比如,操作系统,应用服务,业务逻辑等等。他们都在不停产生各种各样的日志数据。根据不完全统计,我们全球每天大约要产生2EB(1018)的数据。面对如此海量的数据,又是分布在各个不同地方,
详解ELK来分析Nginx服务器日志的方法
09-30
主要介绍了用ELK来分析Nginx服务器日志的方法,ELK是三个开源软件的缩写,分别表示Elasticsearch,Logstash,Kibana,需要的朋友可以参考下
ELK日志分析平台(三)— kibana数据可视化、kibana监控、采集日志插件filebeat
qq_43114229的博客
05-24 2246
[root@foundation50 network-scripts]# cd /mnt/pub/docs/elk/7.6/ [root@foundation50 7.6]# scp kibana-7.6.1-x86_64.rpm server4: 将安装包拷贝到server4上 [root@server4 ~]# rpm -ivh kibana-7.6.1-x86_64.rpm 安装
IT学习笔记--日志收集系统EFK之Kibana
xudasong123的博客
04-24 913
简介 Kibana是一个开源的分析和可视化平台,设计用于和Elasticsearch一起工作。 你用Kibana来搜索,查看,并和存储在Elasticsearch索引中的数据进行交互。 你可以轻松地执行高级数据分析,并且以各种图标、表格和地图的形式可视化数据。 Kibana使得理解大量数据变得很容易。它简单的、基于浏览器的界面使你能够快速创建和共享动态仪表板,实时显示Elasticsear...
ELK实战之Kibana部署及message日志收集
weixin_34087307的博客
12-27 743
一、Kibana安装 Kibana 是为 Elasticsearch 设计的开源分析和可视化平台。你可以使用 Kibana 来搜索,查看存储在 Elasticsearch 索引中的数据并与之交互。你可以很容易实现高级的数据分析和可视化,以图表的形式展现出来。 kiabana下载地址:https://artifacts.elastic.co/downloads/kibana/kibana-6.0.0...
Springboot/Springcloud整合ELK平台,(Filebeat方式)日志采集及管理(Elasticsearch+Logstash+Filebeat+Kibana
weixin_43627706的博客
04-27 7774
前言 最近在搞一套完整的云原生框架,详见 spring-cloud-alibaba专栏,目前已经整合的log4j2,但是想要一套可以实时观察日志的系统,就想到了ELK,然后上一篇文章是socket异步发送给logstashlogstash再输出到elasticsearch索引库中。 logstash是java应用,解析日志是非的消耗cpu和内存,logstash安装在应用部署的机器上显得非常的笨重。最常见的做法是用filebeat部署在应用的机器上,logstash单独部署,然后由filebeat将日志
logstash日志换行处理小解
虚月的专栏
08-10 1576
logstash换行处理\\n 替换成\n
logstash+elasticsearch+Kibana(ELK)日志收集
呆萌小新@渊洁的博客
03-21 1699
访问 http://ip:9200,http://ip:5601看es,kibana是否安装完成。3.3 进入logstash容器的挂载目录logstash.conf。3.进入容器后执行以下命令 傻瓜式设置账号密码。2.重启es容器并进入es容器。3.2 重启logstash
logstash解析日志-multiline多行日志解析示例
兔纸先森的后花园
07-20 2285
Codeclogstash 从 1.3.0 版开始新引入的概念(Codec来自Coder/decoder 两个单词的首字母缩写)。在此之前,logstash 只支持纯文本形式输入,然后以过滤器处理它。但现在,我们可以在输入期处理不同类型的数据,这全是因为有了 codec 设置。所以,这里需要纠正之前的一个概念。Logstash 不只是一个input | filter | output...
ELK详解(九)——Logstash日志收集实战
永远是少年
04-06 4893
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash日志收集实战。 一、Logstash配置 二、Elasticsearch结果查看 三、Kibana结果查看
你不是不会处理多行日志,只是不会写正则表达式而已~
weixin_38261043的博客
06-29 1057
日志收集的时候多行日志一直是一个比较头疼的问题,开发人员并不愿意将日志以 JSON 的方式进行输出,那么就只能在收集日志的时候去重新对日志做下结构化了。由于日志采集器的实现方式和标准不一样,所以具体如何处理多行日志不同的采集器也会不一样的,比如这里我们使用 Fluentd 来作为日志采集器,那么我们就可以使用 这个解析器来处理多行日志多行解析器使用 和 参数解析日志, 用于检测多行日志的起始行。,其中 N 的范围是 ,是多行日志的 格式列表。比如现在我们有如下所示的多行日志数据: 首先创建一个
ELK日志收集系统操作手册.docx
03-03
ELK日志收集系统操作手册,详细讲解了elk组件使用方式
通过elk收集微服务模块日志.doc
09-27
作为代理安装在服务器上,filebeat监视指定的日志文件或位置,收集日志事件,并将它们转发给ElasticSearch或logstash进行索引。 2.LogstashLogstash 是开源的服务器端数据处理管道,能够同时从多个来源采集数据,...
2024-2030全球与中国低脂凝乳奶酪市场现状及未来发展趋势.docx
04-30
2024-2030全球与中国低脂凝乳奶酪市场现状及未来发展趋势
毕业设计:vue+springboot乌鲁木齐南山冰雪旅游服务网站(源码 + 数据库 + 说明文档)
04-30
毕业设计:vue+springboot乌鲁木齐南山冰雪旅游服务网站(源码 + 数据库 + 说明文档) 2 开发工具及技术 2 2.1 B/S结构的介绍 2 2.2 JSP及SpringBoot技术的介绍 2 2.3 HTML及Vue技术的介绍 2 2.4 MYSQL数据库的介绍 3 2.5 开发环境的介绍 3 3 需求分析 4 3.1 可行性分析 4 3.2 功能需求分析 4 3.3 非功能需求分析 4 4 总体设计 6 4.1 系统总体结构设计 6 4.2 系统的数据库设计 6 5 系统功能实现 6 5.1 注册用户 6 5.2 管理员用户 6 6 系统测试 6 6.1 测试目的 6 6.2 测试内容 6 6.3 测试总结 6
C# 超简单的离线人脸识别库 ( 基于 SeetaFace6 ).zip
04-30
c
华为数字化转型实践28个精华问答.docx
最新发布
04-30
华为数字化转型实践28个精华问答.docx
2024年全球二极管阵列光谱仪行业总体规模、主要企业国内外市场占有率及排名.docx
04-30
2024年全球二极管阵列光谱仪行业总体规模、主要企业国内外市场占有率及排名
基于AT89C51单片机的温度上下限自动控制检报警设计.zip-06
04-30
基于51单片机的温度检测调节系统 由STC89C51单片机+液晶1602显示+DS18B20温度传感器+继电器+报警模块构成 具体功能: 1、采用DS18B20温度传感器测温并用LCD1602显示; 2、按键为设置按键、加键和减键。可设置上下限温度控制范围; 3、当温度超过设定的上或下限时,相应的指示灯亮,同时相应的继电器吸合,继电器可以驱动负载工作; 4、温度测量范围0到99.9摄氏度,精度为0.1摄氏度。
elk如何远程采集日志
05-24
要远程采集日志,需要在目标服务器上安装一个日志采集代理,如Logstash或Filebeat。然后,将代理配置为将日志发送到Elasticsearch集群中的一个或多个节点。 以下是大致步骤: 1. 在目标服务器上安装Logstash或Filebeat 2. 配置代理以获取要采集的日志 3. 配置代理以将日志发送到Elasticsearch集群中的节点 4. 在Elasticsearch中创建适当的索引模板和搜索查询以检索日志 具体来说,可以按照以下步骤进行操作: 1. 安装Logstash或Filebeat 对于Logstash,可以按照官方文档中的指南进行操作。对于Filebeat,也可以按照官方文档中的指南进行操作。 2. 配置代理 在Logstash或Filebeat中,需要配置输入和输出。输入是指要采集的日志文件或数据源,输出是指将日志发送到Elasticsearch集群中的节点。 例如,在Filebeat中,可以使用以下配置: ``` filebeat.inputs: - type: log enabled: true paths: - /var/log/myapp/*.log output.elasticsearch: hosts: ["http://es-node1:9200", "http://es-node2:9200"] ``` 这将采集`/var/log/myapp/*.log`中的日志,并将其发送到`es-node1`和`es-node2`节点上的Elasticsearch。 3. 创建索引模板和搜索查询 在Elasticsearch中,需要创建一个适当的索引模板以确保日志正确地解析和存储。还可以创建搜索查询以检索和过滤日志。 例如,可以使用以下示例索引模板: ``` PUT _template/myapp_logs { "index_patterns": ["myapp-*"], "settings": { "number_of_shards": 1 }, "mappings": { "properties": { "timestamp": { "type": "date" }, "message": { "type": "text" }, "tags": { "type": "keyword" } } } } ``` 此模板指定了一个索引模式,即`myapp-*`,并定义了索引中的字段。还可以创建搜索查询以检索和过滤日志。 总之,远程采集日志需要配置日志采集代理,并将其配置为将日志发送到Elasticsearch集群中的节点。然后,在Elasticsearch中创建索引模板和搜索查询以检索日志

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

永远是少年啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值