使用Filebeat采集json日志未能成功解析的问题以及其他踩过的坑

最新推荐文章于 2024-05-29 07:30:00 发布
最新推荐文章于 2024-05-29 07:30:00 发布
阅读量1.7w 收藏 12
点赞数 6
分类专栏: Filebeat 文章标签: Filebeat Elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yk20091201/article/details/90756738
版权

使用Filebeat采集JSON格式日志入库到Elasticsearch中,Mark一下第一次配置时踩过的坑。

  • 第1坑:每行日志被整个入到了ES索引中的一个message字段,而不是按照json解析后的字段入库

       解决方案:这个问题的原因是因为json日志中只要有filebeat无法解析的格式,就会把整条记录当做一个字符串处理,入库到一个message字段,我是日志中有Windows下的路径,反斜杠和后面的字母被当做了转义字符无法识别,所以记录被截断导致解析失败。如果不是需要解析嵌套json

对象的话,也不用配置什么processors,别搞复杂了!

  • 第2坑:Filebeat日志中报 “Error decoding JSON: EOF” 错误

       解决方案:因为很多情况会出现这个错误,但我是因为每行数据都是以 } 大括号结尾的,我在后面加个逗号,就不再报错,可能是Filebeat解析json要求对象之间必须有逗号吧,光换行是不行的!

  • 第3坑:Filebeat配置检测报 “setup.template.name and setup.template.pattern have to be set if index name is modified” 错误

       解决方案:这个错误本身提示很明显,只要我们配置了索引名格式,就必须要同时配置setup.template.name 和setup.template.pattern,但是,我配置了这两项怎么还是不行呢,还是同样的错误,重点来了:这两项的配置必须要顶格配置,不可以和index对齐写到一个缩进级别!这个是很容易写错的,大家注意!正确的写法:

  • 第四,算不上坑吧,只是个提示,就是通过Filebeat采集JSON日志入库到Elasticsearch中,如果默认配置,所有的json字段会最终被存储在一个json字段对象下,如果不想这样存储,想之间存储到root节点下,那么可以加如下配置,当然这些官方文档都有介绍:  
         json.keys_under_root: true
         json.overwrite_keys: true

附上我的完整配置和测试json共大家参考:

filebeat.inputs:
- type: log

  enabled: true
  paths:
    - /usr/local/analyzer/test.log
  json.keys_under_root: true
  json.add_error_key: true
  json.overwrite_keys: true
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["192.168.0.81:9200"]
  index: "filebeat-testindex-%{+yyyy.MM.dd}"
setup.template.name: "filebeattest"
setup.template.pattern: "filebeattest-*"

测试json:

{"sn" : "XASDF324FRWGDSV6GAB","ulPID" : 54282,"actionTime" : "2015/01/01 12:10:35","ulPath" : "D:/WeChat Files/002/Files","ulPathCrc32" : 52345346,"szOldPathName" : "D:/WeChat Files/002/Files/a.txt","szNewPathName" : "D:/WeChat Files/002/Files/b.txt"},
{"sn" : "XASDF324FRWGDSV6GAC","ulPID" : 54282,"actionTime" : "2015/01/01 12:10:36","ulPath" : "D:/WeChat/Files/002/Files","ulPathCrc32" : 52345346,"szOldPathName" : "D:/WeChat/WeChat Files/002Files/a.txt","szNewPathName" : "D:/WeChat/WeChatFiles002Files/b.txt"},
{"sn" : "XASDF324FRWGDSV6GAD","ulPID" : 54282,"actionTime" : "2015/01/01 12:10:37","ulPath" : "D:/WeChatWeChatFiles/002/Files","ulPathCrc32" : 52345346,"szOldPathName" : "D:/eChatWeChat Files/002/Filesa.txt","szNewPathName" : "D:/WeChat/WeChatFiles/002/Files/b.txt"},
{"sn" : "XASDF324FRWGDSV6GAA","ulPID" : 54282,"actionTime" : "2015/01/01 12:10:38","ulPath" : "D:/WeChat/WeChat Files/002Files","ulPathCrc32" : 52345346,"szOldPathName" : "D:/WeChat Files/002/Files/a.txt","szNewPathName" : "D:/WeChatWeChat Files/002Files/b.txt"},

已上纯手敲!如有错漏之处,欢迎指正!

 

Kristianke
关注
  • 6
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Filebeat采集日志讲解(一)
桃花惜春风
03-25 5726
在ELKF中,Filebeat作为日志采集端,采集日志并发送到kafka。input就是以文件形式存储的log文件,output就是kafka集群。 在采集日志中一般情况有以下几点需要注意的: 输出内容确定,一般包括时间戳,主机名,日志类型,日志内容,其他的根据业务的实际需求,无用信息可以直接过滤掉; 输出格式,一般使用json,需要自己拼成json格式; 多路径采集日志配置,同时采集多个服务的...
filebeat解析日志时对于json格式的处理
热门推荐
metheir的博客
03-16 1万+
最近在用filebeat想对收集到的日志进行这样的解析:如果为json的话,就将json对象中的每个子字段解析成顶级结构下的一个字段,但是发现,解析后,保存日志完整内容的message字段(也即完整的json串)消失了,最终找到如下解决方法: 用processors中的decode_json_fields处理器进行处理,它类似logstash中的filter,具体格式如下: processo...
Filebeat进阶指南:核心架构与功能组件的深度剖析
最新发布
博客虽小,世界尽在其中
05-29 1521
本文深入探讨了Filebeat的核心架构及其功能组件,为读者提供了对该日志收集器的全面理解。Filebeat作为一个轻量级的日志采集器,凭借其高效、可靠的性能,在日志管理和监控领域占据了重要地位。 文章首先介绍了Filebeat的基本概念和其在日志管理中的作用,强调了它在实时日志收集、处理和转发中的关键作用。随后,文章详细解析Filebeat的核心架构,包括输入(Inputs)、处理(Processors)、输出(Outputs)等关键组件。 在输入部分,文章详细说明了Filebeat如何监视和收集日
filebeat收集json格式的nginx程序日志(二)
江晓龙的博客
05-31 1416
filebeat收集json格式的nginx日志 1.为什么要收集json格式的日志类型 由于nginx普通日志收集过来的日志内容都是存在一个字段中的值,我们想单独对日志中的某一项进行查询统计,比如我只想查看某个IP请求了我那些页面,一共访问了多少次,在普通的日志中是无法过滤的,不是很满意 如下图,可以明显的看出,收集过来的日志信息都是在一块的,不能够根据某一项内容进行查询 因此就需要让filebeat收集json格式日志内容,把日志内容分成不同的字段,也就是Key/value,这样我们就可以根据一个字段
Filebeat的基本使用
西卡卡的博客
11-16 7565
Filebeat的基本使用_我就是我的博客-CSDN博客_filebeat 一篇文章搞懂filebeat(ELK) - 一寸HUI - 博客园 Filebeat是用于转发和集中日志数据的轻量级传送工具。Filebeat监视您指定的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或 Logstash进行索引。   Filebeat的工作方式如下:启动Filebeat时,它将启动一个或多个输入,这些输入将在为日志数据指定的位置中查找。对于Filebeat所找到的每个日志,Filebe
rapidjson解析json代码实例以及常见的json core dump问题
08-26
在本文中,我们将深入探讨如何使用RapidJSON解析JSON数据,并解决可能遇到的`core dump`问题。RapidJSON是一个轻量级、快速且易于使用的C++ JSON解析器和生成器,它提供了高效的内存管理和解析错误处理。 首先,...
js使用eval解析json(js中使用json)
10-26
因此,现代JavaScript开发通常避免使用`eval()`来解析JSON,而是采用`JSON.parse()`函数,它是专门为解析JSON设计的,既安全又高效: ```javascript var data = '{"key": "value"}'; var json = JSON.parse(data); ...
VB解析JSON.rar_JSON VB_vb json_vb 解析json_使用vb解析json_解析
07-15
用来解析json的工具类,可以进行对象解析,很方便
JAVA使用Gson解析json数据实例解析
10-22
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式,易于阅读和编写,同时也易于机器解析和生成。接下来通过本文给大家介绍JAVA使用Gson解析json数据实例解析,需要的朋友参考下吧
MFC使用json11解析JSON
03-11
json11是一个小型且易于使用的C++ JSON解析器和生成器,它提供了将JSON字符串转换为C++对象以及反之的过程。下面我们将详细讨论如何在MFC项目中集成json11库,并实现JSON数据的解析和序列化。 首先,你需要获取json...
filebeat将收集来的日志存储到自定义名称的es索引(四)
江晓龙的博客
06-09 2100
filebeat自定义索引名称 环境准备 IP 服务 192.168.81.210 es+kibana 192.168.81.220 es+filebeat+nginx 192.168.81.230 filebeat+nginx 1.配置filebeat使用自定义的索引名称 我们配置192.168.81.220的filebeat使用自定义的索引名称 1.1.配置nginx开启json格式的日志 [root@node-2 ~]# vim /etc/nginx/nginx.conf
#老杨说运维# 把各种IT运维指标数据,以指标资源池方式统一处理
边逛边看边学习
10-16 596
夏洛克AIOos的各项产品,越来越多将数据和智能应用场景区分开来。 这样做的好处显而易见。 对于IT运维指标数据,也建立了类似的处理流程。 来自多个IT设备的数据(比如业务分析数据、APM的应用监控指标、自采的架构监控指标、日志数据、第三方软件...),不再逐一分析,而是先通过实时数据流处理平台,将数据规整后存储到“指标管理池”内,再在此技术上建立模型。 在指标数据上面建立的场景应用可以是 “监控”“告警”“异常分析”“容量分析”“根因定位”,乃至生成统一的业务视图、仪表盘、大屏。 #老杨.
filebeat7.7.0相关详细配置预览- processors
BigManing的博客
09-01 1万+
文章目录前言processor1、add_cloud_metadata2、add_cloudfoundry_metadata3、add_cloudfoundry_metadata4、add_fields5、add_host_metadata6、add_id7、add_kubernetes_metadata8、add_kubernetes_metadata9、add_locale10、add_observer_metadata11、add_process_metadata 前言 处理器用于过滤或者增强要发送的
Filebeat的架构分析、配置解释与示例
weixin_33701564的博客
09-28 424
打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758 Github:https://github.com/thinkgamer 写在前边的话 在看filebea...
filebeat 配置文件详解
无锋剑
10-21 2611
Filebeat Configuration Example ############### Filebeat #############filebeat:  # List of prospectors to fetch data.  prospectors:    -      # paths指定要监控的日志      paths:        - /var/log/*.log      #指...
filebeat json
08-05
Filebeat是一个轻量级的日志数据收集工具,它可以将不同格式的日志文件发送到指定的目标,其中包括JSON格式的日志文件。 要配置Filebeat收集JSON格式的日志,首先需要在Filebeat的配置文件中进行相应的设置。以下是一个示例配置文件: ``` filebeat.inputs: - type: log paths: - /path/to/json/logs/*.json json.keys_under_root: true json.add_error_key: trueoutput.elasticsearch: hosts: ["your-elasticsearch-host:9200"] ``` 上述配置中,`filebeat.inputs`指定了要收集的日志文件路径。在`paths`中,可以指定一个或多个JSON日志文件的路径。`json.keys_under_root`设置为`true`表示将JSON字段放在根级别,`json.add_error_key`设置为`true`表示在解析错误时添加一个`error`字段。 `output.elasticsearch`指定了Filebeat要将收集到的日志发送到Elasticsearch中。 请注意,上述配置仅供参考,你需要根据实际情况进行相应的修改和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kristianke

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值