filebeat将多行日志转换成一行输出

最新推荐文章于 2024-03-26 16:29:08 发布
最新推荐文章于 2024-03-26 16:29:08 发布
阅读量1.9k 收藏 2
点赞数 1
分类专栏: ELK日志收集器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyl9527/article/details/107684020
版权

有的日志比较特殊,是多行数据为一个整体信息,这时候就需要将多行日志转换成一行日志,如下图所示,7行数据才是一条整体的日志。

 如果正常去将日志在kibana中展示就会出现下面的情况,一条日志分成了7条数据,不便于我们观察和记录。

 官网配置如下,将多行数据转换成一行日志记录:

 

根据官网上的解释,我们配一下filebeat.yml的内容 

filebeat.inputs:
###################收集access日志#########################
- type: log
  enabled: true
  paths:
    - /var/log/nginx/access.log
  json.key_under_root: true
  json.overwrite_keys: true
  tags: ["access"]
####################收集error日志########################
- type: log
  enabled: true
  paths:
    - /var/log/nginx/error.log
  json.key_under_root: true
  json.overwrite_keys: true
  tags: ["error"]

####################收集es多行日志#######################
- type: log
  enabled: true
  paths:
    - /tmp/1.log
  multiline.pattern: '^\d{4}'   #匹配4个数字年份开头的
  multiline.negate: true        #当前配置和下面的配置根据官网的解释配的 
  multiline.match: after
  tags: ["es"]

output.elasticsearch:
  hosts: ["172.123.154.13:9203"]
  indices: 
    - index: "nginx-acess-%{+yyyy.MM.dd}"
      when.contains:
        tags: "access"
    - index: "nginx-error-%{+yyyy.MM.dd}"
      when.contains:
        tags: "error"
    - index: "es-java-%{+yyyy.MM.dd}"
      when.contains:
        tags: "es"


setup.kibana:
  host: "172.123.154.13:5601"


setup.ilm.enabled: false
setup.template:
  name: "nginx"
  pattern: "nginx-*"
setup.template.overwrite: true
setup.template.enabled: false

在kibana中查看发现本来7行的数据现在变成了一行。 

wyl9527
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
filebeat多行合并配置文件.txt
01-03
根据上面的配置,Filebeat会将所有以`[2023-03-15 10:00:00]`这样的日期时间格式开头的日志行视为一条完整的日志,并将它们合并在一起。由于`negate`设为`true`,所以即使某些行没有以日期时间开头,只要它们紧随其...
Filebeat新手入门(二)多行合并
kele5589的博客
05-09 2934
Filebeat 日志数据采集和分析
logstash 和 filebeat多行日志 合并
cagezxy的博客
11-17 2084
filebeat logstash 配置多行日志 合并
【临窗旋墨】filebeat收集日志输出到logstash然后合并输出到同名文件(7.7.1)
临窗旋墨的博客
09-30 2201
文章目录filebeat收集日志输出到logstash然后合并输出到同名文件(7.7.1)目标:多台集群机器日志收集到一起,且同名输出,能记录来源机器前言:项目有点老了(着急的话,直接跳到最后看结论吧)一 为什么不只使用`Logstash`,而是额外引入了`Filebeat`二 基本思路 `Filebeat` + `Logstash`三 windows下简单测试`Filebeat`四 windows下简单测试`Logstash`一些问题:五 总结: `linux`下的启动脚本和最终配置文件`linux`下
filebeat 7.4.0采集多行日志
有道无术,术尚可求,有术无道,止于术。
11-07 1250
filebeat采集日志本身是逐行采集的,如果采集多行,则需要配置,具体看官网,之所以写是因为给自己一个警告,正则匹配后面是不加单引号的。官网上写了单引号,两个星期就因为单引号,两周的时间没了。 - type: log # Change to true to enable this input configuration. enabled: true #路径 paths...
filebeat 把应用日志多行合并
最新发布
qq_30029665的博客
03-26 642
不知道大家使用 filebeat 收集日志的时候有没有遇到过这样的问题,在 kibana 上查看 ERROR 日志时时不完整的,明明错误日志是有很多行的,但是我们按关键字查询的时候,只有一行,这就让人很头疼了,查不出哥前因后果来。pattern: ‘^\d{4}-\d{1,2}-\d{1,2}’ #匹配到不以 xxxx-xx-xx 这样的时间格式开头的日志(正则表达式)处理日志的关键配置是,解释 匹配到不以 xxxx-xx-xx 这样的时间格式开头的日志,自动合并到上一行的末尾。
Filebeat日志收集案例;
qq_44930876的博客
01-16 1712
Filebeat日志收集案例;
使用FileBeat采集MQ日志到Elasticsearch时所需资料
03-22
FileBeat是一款轻量级的日志收集工具,常用于从服务器上收集各种类型的日志,并将其转发到中央日志管理系统,如Elasticsearch。本教程将详细介绍如何使用FileBeat来采集MQ(Message Queue)日志并将其存储到Elastic...
filebeat autodisconvery收集日志.html
08-07
收集日志日志收集
Filebeat 实时收集 Nginx 日志1
08-03
Filebeat 是 Elastic Stack 中的一员,它是轻量级的日志收集工具,特别适合于资源有限的服务器。相较于 Logstash,Filebeat 更加节省资源,启动快速,因此在实时收集 Nginx 日志等场景下,Filebeat 成为了首选。...
日志文件采集工具filebeat,版本8.2.2
06-14
Filebeat是 Elastic Stack 的一个重要组件,它主要用于轻量级的日志文件采集和传输。这个工具在版本8.2.2中提供了高效的日志数据收集能力,适用于Linux操作系统,并且支持x86_64架构。在本文中,我们将深入探讨...
ELK下logstash收集java日志,多行合并成一行
qq_40907977的博客
04-22 2506
介绍 使用codec的multiline插件实现多行匹配,这是一个可以将多行进行合并的插件,而且可以使用what指定将匹配到的行与前面的行合并还是和后面的行合并。 1.java日志收集测试 input { stdin { codec => multiline { pattern => "^\[" //以"["开头进行正则匹配 negate => tru...
Filebeat 按照关键字匹配采集多行日志(实验详解)
BigManing的博客
08-10 2953
一、采集多行日志官方介绍 ### Multiline options # Multiline can be used for log messages spanning multiple lines. This is common # for Java Stack Traces or C-Line Continuation # The regexp Pattern that has to be matched. The example pattern matches all lines s
Beats:使用 Filebeat 传送多行日志
Elastic 中国社区官方博客
05-22 3190
在解决应用程序问题时,多行日志为开发人员提供了宝贵的信息。 堆栈跟踪就是一个例子。 堆栈跟踪是引发异常时应用程序处于中间的一系列方法调用。 堆栈跟踪包括遇到错误的相关行以及错误本身。 可以在此处查看Java堆栈跟踪的示例: Exception in thread "main" java.lang.NullPointerException at com.example.myproject.Book.getTitle(Book.java:16) at com.example.
Filebeat处理多行换行的问题
~O~
03-01 1479
fillbeat处理多行日志问题
Filebeat multiline合并多行日志
qq_25911515的博客
01-11 4365
ES 6.3版本 filebeat.inputs: - type: log enabled: true paths: # - /var/log/*.log - /opt/filebeat-6.3.2-linux-x86_64/test.log # exclude_lines: ['ConfigClusterResolver'] #filebeat.config.modu...
部署Filebeat收集日志并转发到Elasticsearch
u010797364的博客
06-28 1463
Filebeat是用于转发和集中日志数据的轻量级传送工具。Filebeat监视您指定的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或 Logstash进行索引。
ELK-使用nxlog+filebeat采集不同类型的日志输出到logstash
陈袁的博客
04-24 3853
使用nxlog+filebeat采集不同类型的日志输出到logstash 前言 网络上有很例子给出一示例是采集一种类型的日志输出到logstash,但一个系统上日志种类很多,同一个采集端能区分不同日志类型吗? 下面的结构是nxlog做客户端采集,通过tcp协议发送到logstash,然后logstash传输到elasticsearch。 前提条件必需: 安装好elasticsearch,logs...
ELK+Filebeat 集中式日志解决方案详解
热门推荐
zoubf的专栏
02-16 1万+
Google+用电子邮件发送本页面 ELK Stack 简介 ELK 不是一款软件,而是 Elasticsearch、Logstash 和 Kibana 三种软件产品的首字母缩写。这三者都是开源软件,通常配合使用,而且又先后归于 Elastic.co 公司名下,所以被简称为 ELK Stack。根据 Google Trend 的信息显示,ELK Stac
filebeat采集日志从某一行中间开始
05-26
filebeat中,可以使用`start_position`参数来指定从日志文件的哪个位置开始读取,可以设置为"beginning"表示从文件的开头开始读取,或者设置为"end"表示从文件的末尾开始读取。如果要从中间某一行开始读取,可以将`start_position`设置为"set_offset",并指定偏移量。 例如,假设要从文件的第10行开始读取,可以使用以下配置: ``` filebeat.inputs: - type: log enabled: true paths: - /var/log/mylog.log start_position: set_offset offset: 9 ``` 其中`offset`参数指定了偏移量,值为9表示从文件的第10行开始读取。注意,这里的偏移量是基于文件的行数而不是字节数,因此如果文件中有较长的行,偏移量可能需要根据实际情况进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值