ELK+Filebeat+Kafka,SpringBoot异常日志收集

最新推荐文章于 2024-08-16 18:50:49 发布
最新推荐文章于 2024-08-16 18:50:49 发布
阅读量774 收藏 2
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wender/article/details/116261265
版权

ELK+Filebeat+Kafka,SpringBoot异常日志收集

概述

FileBeat + Kafka + ELK,收集SpringBoot项目的日志输出,有几个地方需要注意:

  • 项目日志输出格式化
  • Filebeat将多行日志汇集成一行
  • Logstash将项目日志格式化为json

SpringBoot项目日志输出格式化

logback-spring.xml

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <if condition='isDefined("catalina.home")'>
        <then>
            <property name="log_path" value="${catalina.home}"/>
        </then>
        <else>
            <property name="log_path" value="./target"/>
        </else>
    </if>
    <appender name="console" class="ch.qos.logback.core.ConsoleAppender">
        <encoder>
            <pattern>[%d] [%p] [%t] [%c] - %m%n</pattern>
            <charset>UTF-8</charset>
        </encoder>
    </appender>
...
    <root level="info">
        <appender-ref ref="console"/>
    </root>

</configuration>

xml配置文件中,[%d] [%p] [%t] [%c] - %m%n 确定了日志的规则,实际的日志输出格式如下:

[2021-04-25 09:50:58,255] [INFO] [RMI TCP Connection(23)-10.10.20.248] [org.springframework.web.servlet.DispatcherServlet] - Initializing Servlet 'dispatcherServlet'
[2021-04-25 09:50:58,324] [INFO] [RMI TCP Connection(23)-10.10.20.248] [org.springframework.web.servlet.DispatcherServlet] - Completed initialization in 69 ms
[2021-04-25 09:50:58,565] [WARN] [RMI TCP Connection(24)-10.10.20.248] [org.springframework.boot.actuate.elasticsearch.ElasticsearchHealthIndicator] - Elasticsearch health check failed
org.elasticsearch.client.transport.NoNodeAvailableException: None of the configured nodes are available: [{#transport#-1}{haxOm4fCQzaVW60mmuR-4w}{10.10.50.84}{10.10.50.84:9300}]
	at org.elasticsearch.client.transport.TransportClientNodesService.ensureNodesAreAvailable(TransportClientNodesService.java:349)
	at org.elasticsearch.client.transport.TransportClientNodesService.execute(TransportClientNodesService.java:247)
	at org.elasticsearch.client.transport.TransportProxyClient.execute(TransportProxyClient.java:60)
	at org.elasticsearch.client.transport.TransportClient.doExecute(TransportClient.java:381)
	at org.elasticsearch.client.support.AbstractClient.execute(AbstractClient.java:407)
	at org.elasticsearch.client.support.AbstractClient.execute(AbstractClient.java:396)
	at org.elasticsearch.client.support.AbstractClient$ClusterAdmin.execute(AbstractClient.java:708)
	at org.elasticsearch.client.support.AbstractClient$ClusterAdmin.health(AbstractClient.java:730)
	at org.springframework.boot.actuate.elasticsearch.ElasticsearchHealthIndicator.doHealthCheck(ElasticsearchHealthIndicator.java:79)
	at org.springframework.boot.actuate.health.AbstractHealthIndicator.health(AbstractHealthIndicator.java:84)
	at org.springframework.boot.actuate.health.CompositeHealthIndicator.health(CompositeHealthIndicator.java:98)
	at org.springframework.boot.actuate.health.HealthEndpoint.health(HealthEndpoint.java:50)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)

配置Filebeat汇集换行的日志为一行

vi filebeat.yml

#=========================== Filebeat inputs =============================
filebeat.inputs:
- type: log
  enabled: true
  # lms 8301
  paths:
    - /var/logs/xapi/8301/*.log
  tail_files: true
  fields:
    logtopic: elk-lms-8301
  ### Multiline options
  multiline.pattern: '^\['
  multiline.negate: true
  multiline.match: after

#================================ Kafka ========================================
output.kafka:
  enabled: true
  # initial brokers for reading cluster metadata
  hosts: ["10.10.20.26:9092"]

  # message topic selection + partitioning
  #topic: elk-lms-xapi
  topic: '%{[fields.logtopic]}'
  partition.round_robin:
    reachable_only: false

  required_acks: 1
  compression: gzip
  max_message_bytes: 1000000
name: 10.10.20.26_filebeat

这里的multiline.pattern,表示以‘[’开始的行为新一行。新一行之前的输出,算为当前行的内容。

Logstash格式化项目日志

vi logstash-8301.conf

# Sample Logstash configuration for creating a simple
# Beats -> Logstash -> Elasticsearch pipeline.
input {
    kafka {
        bootstrap_servers => "10.10.20.26:9092"
        topics => ["elk-lms-8301"]
#        consumer_threads => 5
#        decorate_events => true
        auto_offset_reset => "latest"
#        auto_offset_reset => "earliest"
        client_id => "client-xapi-8301"
        group_id => "group-xapi-8301"
    }


}

filter {
    # 将message转为json格式
        grok {  
            match => {
                "message" => "\[%{TIMESTAMP_ISO8601:log_time}\]\s\[%{LOGLEVEL:log_level}\]\s\[%{GREEDYDATA:log_from}\]\s\[%{JAVACLASS:log_classname}\]\s\-\s%{GREEDYDATA:log_detail}"
            }
        }
        
        # 正则替换日志中的换行符, 最后一个参数是双引号包围的回车键
        mutate {
            gsub => ["log_detail", "\\n", "
            "] 
        }


        # 移动log_detail字符串中的系统属性 begin
        if [log_detail] =~ "\"beat\"" {
            grok {
                match => { 
                    "log_detail" => "(?<log_detail>(.*)(?=\"beat\")/?)"
                }
                overwrite => ["log_detail"]
            }
        }       
        if [log_detail] =~ "\"offset\"" {
            grok {
                match => {
                    "log_detail" => "(?<log_detail>(.*)(?=\"offset\")/?)"
                }
                overwrite => ["log_detail"]
            }
        }       
        if [log_detail] =~ "\"source\"" {
            grok {
                match => {
                    "log_detail" => "(?<log_detail>(.*)(?=\"source\")/?)"
                }
                overwrite => ["log_detail"]
            }
        }       
        if [log_detail] =~ "\"fields\"" {
            grok {
                match => {
                    "log_detail" => "(?<log_detail>(.*)(?=\"fields\")/?)"
                }
                overwrite => ["log_detail"] 
            }
        }       
        if [log_detail] =~ "\"input\"" {
            grok {
                match => {
                    "log_detail" => "(?<log_detail>(.*)(?=\"input\")/?)"
                }
                overwrite => ["log_detail"]
            }
        }
        if [log_detail] =~ "\"prospector\"" {
            grok {
                match => {
                    "log_detail" => "(?<log_detail>(.*)(?=\"prospector\")/?)"
                }
                overwrite => ["log_detail"]
            }
        }
        # 移动log_detail字符串中的系统属性 end

}

output {
    # 处理后的日志入es
    if [fields][logtopic] == "elk-lms-8301" {
        elasticsearch {
            hosts => "10.10.20.26:9200"
            index => "elk-lms-8301"
        }
    }

    stdout {
        codec => rubydebug
    }
}

这里的关键配置是grok部分。
[%{TIMESTAMP_ISO8601:log_time}]\s[%{LOGLEVEL:log_level}]\s[%{GREEDYDATA:log_from}]\s[%{JAVACLASS:log_classname}]\s-\s%{GREEDYDATA:log_detail} 逐节解析如下:

  • [%{TIMESTAMP_ISO8601:log_time}] :表示 [时间戳],如[2021-04-25 09:50:58,255]
  • [%{LOGLEVEL:log_level}]:表示日志级别,如[INFO]
  • [%{GREEDYDATA:log_from}]:表示来源,如[RMI TCP Connection(23)-10.10.20.248]
  • [%{JAVACLASS:log_classname}]:表示java全路径的类名,如org.springframework.web.servlet.DispatcherServlet
  • {GREEDYDATA:log_detail}:表示日志内容,如Initializing Servlet ‘dispatcherServlet’

所以,象下面的日志:

[2021-04-25 09:50:58,255] [INFO] [RMI TCP Connection(23)-10.10.20.248] [org.springframework.web.servlet.DispatcherServlet] - Initializing Servlet 'dispatcherServlet'

就会被格式化为:

{
  "classname": "org.springframework.web.servlet.DispatcherServlet",
  "level": "INFO",
  "from": "RMI TCP Connection(23)-10.10.20.248",
  "detail": "Initializing Servlet 'dispatcherServlet'",
  "timestamp": "2021-04-25 09:50:58,255"
}

在kibana的Grok Debugger中,可以看到格式化的效果:
Kibana Grok Debugger
另,按如下方式启动Logstash,可以在修改配置文件时,自动重启Logstash,比较适合调试

nohup /home/wender/app/logstash-6.4.3/bin/logstash -f /home/wender/app/logstash-6.4.3/config/logstash.conf --config.reload.automatic &

参考资料

Logstash Grok patterns
ELK集群+Filebeat+Kafka
Kibana 用户手册
开始使用 Elasticsearch

cjrjc
关注
专栏目录
FileBeat笔记(一)——安装和采集Springboot日志
紫眸的博客
05-24 7866
1. 下载和安装 # windows 下载,本文以windows命令演示 https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.6.2-windows-x86_64.zip # linux 下载 wget https://artifacts.elastic.co/downloads/beats/filebeat/file...
ELK + Filebeat + Kafka 分布式日志管理平台搭建
2301_82242204的博客
04-23 758
在部署的过程中可能会遇到各种情况,此时根据日志说明都可以百度处理(如部署的过程中不能分配内存的问题)。如果完成后如果数据显示不了,可以先到根据工作流程到各个节点查询数据是否存储和传输成功。如查询filebeat是否成功把数据传输到了kafka,可以进入kafka容器当中使用kafka中如下命令查询:查看日志filebeat中的数据是否正常在kafka中存储。
filebeat自定义收集springboot日志
南角影
08-02 9726
springboot-fek 目标 单点安装filebeat -> elasticsearch -> kibana 解析spring boot 日志 FEK方式,日志收集使用filebeat收集springboot日志文件信息,发送至es。 环境 服务器列表 192.168.1.10 filebeat 192.168.1.11 kibana elaticsearch 软件环境 j...
ELK整合实战,filebeat和logstash采集SpringBoot项目日志发送至ES
最新发布
qq_44027353的博客
08-16 1652
但此时,我们并没有开启并配置Logstash,所以FileBeat是无法连接到Logstash的。默认字段经过date插件处理后,会输出到@timestamp字段,所以,我们可以通过修改target属性来重新定义输出字段。例如:时间、日志级别、哪个类打印的日志日志具体内容。在Logstash中可以配置过滤器Filter对采集到的数据进行过滤处理,Logstash中有大量的插件可以供我们使用。但注意,要在index中使用时间格式化,filter的输出必须包含 @timestamp字段,否则将无法解析日期。
使用filebeat收集并解析springboot日志
go4it
08-05 1050
本文主要研究一下如何使用filebeat收集并解析springboot日志
ELK6.8版本整合filebeatkafka收集springboot日志
ffyyhh995511的专栏
12-26 2361
一、系统流程图 二、统一springboot日志格式 <!--最新的格式,以[]包装--> 方便logstash 已中括号过滤用 <appender name="consoleAppender" class="ch.qos.logback.core.ConsoleAppender"> <encoder class="ch.qos.logback.cla...
filebeat采集SpringBoot Java日志
热门推荐
Jack魏
04-01 5万+
filebeat采集SpringBoot日志1. 解析日志格式2. 配置3. 通过tags过滤日志 1. 解析日志格式 2021-04-01 10:34:50 389656839 [jackExecutorCoreLog---3] INFO c.tj.service.user.TjWebVisitService - ===key:state, value:2 2021-04-01 10:34:50 389656839 [jackExecutorCoreLog---3] INFO c.tj.service
StirngBoot+ELK+Kafka记录日志,超详细搭建过程!
01-20
【StirngBoot+ELK+Kafka记录日志】是一种高效、实时的日志收集、分析和展示解决方案,尤其适用于大型分布式系统。该系统通过整合SpringBoot应用的日志记录、Kafka的消息中间件、ELK(Elasticsearch、Logstash、Kibana...
基于docker搭建单机版ELK+filebeat+kafka
qq_40969452的博客
03-26 3592
上一节写了最简单架构的搭建和日志采集:传送门 主要有这几种架构方式 1. Elasticsearch + Logstash + Kibana 每台机器(客户端)上部署Logstash,logstash收集了数据直接往es里面写,es分析日志,kibana查询es的数据做展示。 这是一种最简单的架构。这种架构虽然是官网介绍里的方式,但是往往在生产中很少使用。因为这样要在每台机器上都部署logstash,资源消耗比较大。 2. Elasticsearch + Logstash + filebeat +
Springboot + docker + ELK +Filebeat实现日志收集与展示
皮卡丘的情绪
05-11 6877
文章目录1、ELKB架构2、本机环境3、ELKB环境搭建3.1、创建自定义网络3.2、elasticsearch环境配置3.2.1、创建elasticsearch目录3.2.2、配置elasticsearch.yml文件3.3、Kibana环境配置3.3.1、创建kibana目录3.3.2、kibana.yml文件配置3.4、Logstash配置3.4.1、Logstash目录创建3.4.2、logstash.yml和logstash.conf文件配置3.5、Filebeat配置3.5.1、Filebeat
ELKfilebeat采集springboot日志
sg_knight的专栏
07-15 1187
1、设置springboot日志输出路径 logging: file: path: D:/logs 2、设置filebeat配置参数 编辑filebeat.yml文件的filebeat.inputs参数 filebeat.inputs: - type: log enabled: true paths: - D:\logs\* json.keys_under_root: true json.overwrite_keys: true tags: ["tomca
ELK+KAFKA+FILEBEAT
08-02
ELKF是 Elastic + Logstash + Kibana + FileBeat 四个组件的组合。本文基于elastic 6.1.1讲解一个基于日志文件的ELKF平台的搭建过程。 在这个系统中,Elastic充当一个搜索引擎,Logstash为日志分析上报系统,FileBeat日志文件收集系统,Kibana为此系统提供可视化的Web界面
debj_SpringBoot_ELK+Kafka_resources.zip
06-24
SpringBoot 整合 ELK+Kafka 所需镜像及 docker-compose.yml 集合打包,用于提供某篇文章中所提及的 Ubuntu 镜像资源
EFK(Elasticsearch、Filebeat、kibana)+SpringBoot日志收集
esqabc的博客
07-09 3599
声明: 如果您有更好的技术与作者分享,或者商业合作; 请访问作者个人网站 http://www.esqabc.com/view/message.html 留言给作者。 如果该案例触犯您的专利,请在这里:http://www.esqabc.com/view/message.html 留言给作者说明原由 作者一经查实,马上删除。 手机留言请访问:http://www.esqabc.com ...
SpringBoot+ELK 收集日志的两种方式
tian830937的专栏
07-02 1286
也就是FileBeat 通过读取日志文件位置获取日志内容,然后发送至logstash,logstash收到日志后再发送至ES,这种方式。
filebeat同时收集错误日志与普通日志并存(六)
江晓龙的博客
06-16 1208
filebeat收集错误日志并与普通日志并存 只收集正常日志往往是不完整的,错误日志更需要收集起来 1.配置filebeat收集error日志 所有集群都按如下配置,其实就是增加了一个type和一个index vim /etc/filebeat/filebeat.yml filebeat.inputs: - type: log enabled: true paths: - /var/log/nginx/www_access.log json.keys_under_root: true
结合springboot搭建日志采集系统EFK
liurui_wuhan的专栏
04-13 2267
下载elasticsearch [root@ecs7 efk]# curl -L -O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.12.0-linux-x86_64.tar.gz 下载kibana [root@ecs7 efk]# curl -L -O https://artifacts.elastic.co/downloads/kibana/kibana-7.12.0-linux-x...
sprinboot 集成elk 日志收集
qq_42962779的博客
04-22 375
案例使用docker 安装elk,然后使用springboot连接logstash推送日志,发送到es,然后kibana可视化展示 首先需要安装docker 以及docker客户端portainer,没有安装的小伙伴看这里 安装docker,以及portainer可视化工具 docker安装好之后,开始拉取elk镜像 docker pull sebp/elk 然后查看镜像 docker im...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值