logstash的file input plugin插件不按顺序读取数据

最新推荐文章于 2023-06-27 08:04:10 发布
最新推荐文章于 2023-06-27 08:04:10 发布
阅读量1k 收藏 3
点赞数
分类专栏: BI可视化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42644062/article/details/103805208
版权

比如csv文件的内容如下:

rec1,1,5,5
rec1,2,2,2
rec1,3,44,44
rec1,4,33,22
rec2,5,66,55
rec2,6,4,4

csv的mapping:

csv {
    separator => ","
    skip_empty_rows => true
    columns => [
        "Sensornr",
        "serial_nr",
        "test2",
        "test3"
    ]
    convert => {
        "serial_nr" => "float"
        "test2" => "float"
        "test3" => "float"
    }
}

我希望在每条记录添加到ES的时候,查询当前记录的[Sensornr]是否以前出现过,如果没有出现过,就增加一个字段 [FirstIn] = 'Y', 如果以前曾经出现过,就增加一个字段 [FirstIn] = 'N'.

logstash的file input插件每次读取很多行新增的数据,所以除了查询当前条记录出现在ES的中的数量外,还要考虑同一批次的数据中是否包含着当前 [Sensornr]

首先查询当前记录的 [Sensornr] 是否出现在当前读取批次中,用到了throttle filter,如果当前 [Sensornr] 出现在了同一批数据中,则将第2此以及以后出现的数据都增加一个tag: "Dup"

throttle {
    before_count => 0
    after_count => 1
    period => 10
    max_age => 20
    key => "%{Sensornr}"
    add_tag => "Dup"
}

同时用elasticsearch filter查询ES中是否有当前记录

elasticsearch {
		hosts => "127.0.0.1:9200"
		index => "logstash-test2019"
		query_template => "esquery.json"
		result_size => 1000
		aggregation_fields=>
		{
			"types_count" => "es_count"
		}
	}

其中的esquery.json内容如下,查询[Sensornr.keyword]的数量,并将结果存在“value_count”中:

{
  "query":  {
      "match":  {
          "Sensornr":"%{[Sensornr]}"
      }
  },
  "aggs" : {
      "types_count" : {
          "value_count" : { "field" : "Sensornr.keyword" }
       }
  }
}

然后根据以上两个查询结果进行综合判断:

	if "Dup" not in [tags] and [es_count][value]==0{
		mutate{
			add_field => {
				"FirstIn"=> "Y"
			}
		}
	}
	else{
		mutate{		
			add_field => {
				"FirstIn"=> "N"
			}			
			#remove_tag => ["Dup"]
		}	
	}

问题来了:

有时候,我会得到这样的结果:

Jan 1, 2020 @ 11:39:52.993	rec1	1	Jan 1, 2020 @ 11:39:52.993	0	Y	 - 
Jan 1, 2020 @ 11:39:52.994	rec1	2	Jan 1, 2020 @ 11:39:52.994	 - 	N	Dup
Jan 1, 2020 @ 11:39:52.994	rec1	3	Jan 1, 2020 @ 11:39:52.994	 - 	N	Dup
Jan 1, 2020 @ 11:39:52.995	rec1	4	Jan 1, 2020 @ 11:39:52.995	 - 	N	Dup
Jan 1, 2020 @ 11:40:29.116	rec2	5	Jan 1, 2020 @ 11:40:29.116	 - 	N	Dup
Jan 1, 2020 @ 11:40:29.117	rec2	6	Jan 1, 2020 @ 11:40:29.117	0	Y	 -

意味着rec2 - 6 被认为以前不存在重复记录,而rec2 - 5被认为以前存在重复记录,这与我csv文件中的顺序不符。

通过在https://discuss.elastic.co/t/why-input-plugin-file-doesnt-read-lines-in-sequence/213476进行提问,得知原来在logstash的pipeline配置中,有2个配置项目影响着文件读取顺序:

  pipeline.workers: 1    <===同时工作的管道数
  pipeline.java_execution: true    <===默认配置为true

如果pipeline.workers配置成大于1的值,个人理解logstash读取文件的顺序会不确定,因为不同的workers处理不同行。

根据网友的回复,即便pipeline.workers配置为1,如果pipeline.java_execution被启用的话,仍然会引起logstash将读取到的数据行重新排序。而pipeline.java_execution在默认配置中就是true。

另外,按照网友回复,建议将throttle的before_count设置为-1,防止第1条数据被当作throttled的数据。

综上所述,解决csv文件不按顺序处理数据行的方法:

1. pipeline.workers设置为1

2. pipeline.java_execution设置为false

3. throttle的before_count设置为-1

再观察一段时间,看看这样是否可以完美标记新出现的重复记录。

 

能想多少想多少
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Logstash input插件
桃花惜春风
01-16 630
文章目录课前三分钟stdin 课前三分钟 从本节课开始,我们开始学习本次达人课第二部分,ELK日志系统中非常重要的组件----Logstash。在第二节课中,我们已经介绍了对Logstash进行了相关介绍,相信大家已经有过了解了。Logstash主要分为三部分:input、filter和output。本文将介绍Logstash的输入部分----inputLogstash自带的的输入插件有很多中...
Logstash使用Jdbc input plugin定时读取数据库新记录
totally123的专栏
04-25 1942
MySQL表结构: mysql&gt; desc employee; +-----------+-------------+------+-----+---------+----------------+ | Field | Type | Null | Key | Default | Extra | +-----------+-------------...
Logstashinput plugin 介绍
Elastic 中国社区官方博客
02-11 3514
Logstash附带了许多input,codec,filter和output插件,可用于从各种应用程序,服务器和网络通道中检索,转换,过滤和发送日志和事件。如果大家对Logstash还没有初步的了解,请参阅我之前的文章: 如何安装Elastic栈中的Logstash Logstash:Data转换,分析,提取,丰富及核心操作 在本文中,我们将继续探索Logstash输入插件的丰富世界,重点关注...
ELK(六):Logstash——input/file使用详解
Hurpe
05-06 6177
最简单的配置文件 其他参数介绍 1、path 2、exclude 3、start_position 4、sincedb_path 5、关于扫描和检测的时间 6、add_field 7、tags 8、delimiter 处理的都是日志,在之前的文章ELK(四):Logstash的安装及使用介绍过溢写基础,本篇继续深入,主要讲解的就是input下的file的参数。 最简...
关于logstash的坑,求解
goodstudy168的专栏
09-29 1279
这两天出现一个小事故,是logstash读取文件信息输出到kafka,因为topic没有创建,而导致所有的topic都没有数据。先将配置文件列出来。 input { file { path => "/data/xx/log/xsec_anti_cheat_d/xsec_anti_cheat_d.log" start_position => "end" sincedb...
logstash java opts_logstash 启动报找不主类或无法加载 java
weixin_35219046的博客
02-17 371
logstash启动时,首先要注意正确配置java并且最近版本的logstash要求java8在搞定以上后确认环境变量没有问题再确认logstash所在的目录 不存在含有空格的文件夹名称在这所有所有之后还是会报错:找不到或无法加载主类 (乱序地址)解决方案废话不多说:找到logstash/bin目录下的logstash.bat打开编辑,找到如下行%JAVA% %JAVA_OPTS% -cp "%...
logstash 启动报无法找到主类解决方案
张三与王二麻子
03-03 6205
logstash启动时,首先要注意正确配置java 并且最近版本的logstash要求java8 在搞定以上后确认环境变量没有问题 再确认logstash所在的目录 不存在含有空格的文件夹名称 在这所有所有之后还是会报错:找不到或无法加载主类 (乱序地址) 解决方案 废话不多说:找到logstash/bin目录下的logstash.bat 打开编辑,找到如下行 %JAVA% %JAVA_OPTS...
logstash-input-mongodb-0.4.1[logstash-6.5.4]
01-24
数据在被Logstash-input-mongodb插件收集后,可以经过各种内置或者自定义的过滤器进行处理,比如解析、转换、过滤,然后通过不同的输出插件,如Elasticsearch、File、stdout等,将处理后的数据发送到指定的目的地。...
[Logstash] 如何找到并清空logstash-input-file插件的文件监控记录(sincedb)?
winx_coder的专栏
12-01 6936
Logstash版本 2.4.1 问题 在Logstash中,已经通过logstash-input-file插件导入了一些本地日志文件。现在需要重新导入这些日志文件,但是logstash-input-file插件会自动忽略之前已经读取的文件。要想重新导入之前的文件,只能清空文件监控记录。   那么,文件监控记录到底在哪里?   在官方插件说明文档中,关于文件监控记录(sincedb)
ElasticSearch7.3学习(三十二)----logstash三大插件input、filter、output)及其综合示例
www_xuhss_com的博客
06-26 1650
logstash支持很多数据源,比如说等等图片上面只是一少部分。详情见网址:https://www.elastic.co/guide/en/logstash/current/input-plugins.html这种控制台输入前面已经介绍过了,这里就不解析了。链接:ElasticSearch7.3学习(三十一)----Logstash基础学习 1.3 读取文件(File) 比如说我存在一个文件,文件内容如下:注意:文件光标要指向下一行,不然最后一行可能读取不到我想把文件内容打印至控制台显示。可在里面添加如下内
Logstash数据顺序写ES
yml_try的博客
09-18 828
适用场景 业务需要将操作ES的多条命令先后执行,如先插入再更新、先删除再插入等,且多条命令执行间隔很短。由于Logstash为批量提交事件,Elasticsearch为异步线程池处理,普通使用方式无法保证数据的事务性。 Elasticsearch的乐观锁机制 Elasticsearch对每条存储的数据都有版本控制,每一次对一条记录的增删改都会使该条记录的版本号增加1。如果在进行某一次操作时,先进行版本号检查,若当前版本号不是预期的版本号,则本次操作将被取消。 删除一条记录后,该记录的版本信息默认将保存1分钟
ELK日志排序混乱
luoqinglong的专栏
11-10 3681
1、现象 环境使用的是7.4,filebeat,kafka,logstash,es 排序字段是@timestamp,由于是filebeat批量收集提交的,所以该字段的值是一样的。而右边message中的日志没有按照log打印的时间排序,有部分时间的日志在中间,如下图 2、分析 @timestamp字段是经过filebeat处理时添加的,可以通过修改filebeat配置文件,把收集后的日志输出到本地文件,可以看出来多了时间字段。 3、解决方案 这里采用logstash重写@timesta.
LogStash的配置详解
最新发布
趣学程序
06-27 4681
配置语法logstash主要配置input、filter、output区段Logstash用{}来定义区域。区域内可以包括插件去预定义,可以在一个区域内定义多个插件插件区域则可以定义键值对来设置。示例:input { stdin{} syslog{}}数据类型Logstash支持少量的数据值类型:•booldebug => true•stringhost => "loc...
logstash5.x output 顺序问题
问道至简
05-13 1398
配置logstash 多个output 的目的在于,提供数据备份、降低因运行环境问题造成的损失。 但如果配置顺序不正确,前面两点也无法得到保证。原因是 logstash 在接受输入后,会逐个执行 output 组件,如果第一个 output 写入一场,第二个output 同样会发证问题。例如:在我们的生产环境,有3个output ( kafka 、Elasticsearch 、file ) 最初的
logstash(4)输入-file
祈雨v的博客
01-18 912
描述 监听文件并读取文件内容作为事件。 input{ file{ # path =&gt;"/var/log/access.log" path =&gt;["/var/log/access.log"] } } 参数 参数 类型 是否必须 默认值 close_older number或string_duration 否 1 hour ...
filebeat+logstash顺序存储日志
u012922005的博客
09-06 836
filebeat+logstash顺序存储日志 老问题,之前没有上FELK全套组件,只通过filebeat+logstash将java应用日志存储到日志服务器,运维和研发同事通过登录日志服务器,用shell命令进行日志查看,人用的多后,发现日志收集过来后,有些应用的日志会乱序,即时间没有按顺序输出,后一秒的日志放在了前面,这样很影响研发进行排查问题,啰嗦的话不多说,直接解决问题: 经过排查是logstash线程数的问题,因为多线程本身就是无序的,这样日志落地后,就会出现顺序错误的情况,修改配置: pipel
ELK整理(Logstash)使用详解和问题解决
Cx的博客
01-04 966
1.Logstash增量同步 2.Logstash同步mysql多数据表时到elasticsearch时数据错乱
ELK部署教程
yuyang4600的博客
05-22 497
ELK部署教程 背景原因什么的就不费话了,直接开始吧 我的流程是这样的 filebeat --> logstash --> elasticsearch --> kibana 有没有很简单 filbeat会部署在多个服务器上收集日志,后三个部署在单独的服务器上 版本: java: 1.8 filebeat, logstash, elasticsearch, kibana: 7.0.0 为了不必要的麻烦,尽量选择一直的版本 产品下载地址:https://www.elastic.c
logstash fliter插件的date
sdlyjzh的专栏
08-20 927
logstash fliter插件的datedate过滤器用于从字段中解析日期,然后用这个日期作为logstash中事件的时间戳(timestamp)。例如,syslog经常有这种时间戳:Apr 17 09:32:01你应该用dd HH:mm:ss这种格式解析它。date过滤器对于事件的排列以及回填旧数据都很重要。如果在你的事件中,没有得到正确的日期,那么之后搜索的结果会乱序。没有这个过滤器的情况下
logstash 没有logstash-input-kubernetes插件
05-09
1. 在Logstash的安装目录下运行bin/logstash-plugin install logstash-input-kubernetes命令进行安装。 2. 确保你的Logstash版本与logstash-input-kubernetes插件的版本兼容。你可以在插件的官方文档中查看版本兼容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值