elastic笔记:两种日志处理流程整理

最新推荐文章于 2025-09-09 14:13:54 发布
原创 最新推荐文章于 2025-09-09 14:13:54 发布 · 1.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elastic

本文整理了两种日志处理流程,涉及filebeat、logstash和redis。第一种是logstash通过redis中转到elastic,第二种是filebeat直接到redis,再到logstash最后进入elastic。采集端logstash仅负责采集,正则匹配在后台logstash完成。filebeat作为轻量级替代,直接读取nginx日志存为json,避免了后端正则解析。
部署运行你感兴趣的模型镜像

elastic日志传输架构

日志的流向比较灵活,已经测试过的包括:
filebeat —> logstash
filebeat —> elastic
filebeat —> redis
logstash <—> redis
logstash —> elastic

logstash –>redis –> logstash –> elastic

早期利用的环境,由于跨不同网络,故中间使用redis作为中转。

采集端 logstash配置

前端不处理,直接导入redis。正则匹配放在后端进行。

input {
    file {
        path => "/var/log/nginx/prod_access.log"
        start_position => beginning
        codec => plain {
            charset => "UTF-8"
        }
        type => "prod_nginx"
    }
}

output {
    redis {
        host => "ip_address"   ##实际地址
        port => 37000
        data_type => "list"
        key => "prod_nginx"
    }

后台logstash 读取redis

input {

    file {
        path => "/data/path/to/log/prod_access.log"
        start_position => beginning
        codec => plain {
            charset => "UTF-8"
        }
        type => "nginx"
    }
}

filter {
    grok {
        patterns_dir => "/usr/local/logstash-5.1.1/nginx_pattern"
        match => {
            "message" => ["%{NGINXACCESS1}", "%{NGINXACCESS2}"]
        }
        overwrite => ["message"]
    }
    date {
        match => [ "timestamp", "dd/MMM/YYYY:HH:mm:ss Z" ]
    }
}

output {
  elasticsearch {
    hosts => "192.168.100.41:9200"
    manage_template => false
#    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"  #这个配置有点问题
    index => "nginx"    ##这里全部都导入一个索引下,不好
    document_type => "%{[@metadata][type]}"
  }
}

logstash 进行日志解析的模板

CACHE_STAT \w+|-
RE_TIME %{NUMBER}|-
the_URI %{URI}|-
NGINXACCESS1 %{IP:client} - - \[%{HTTPDATE:localtime}\] \"%{WORD:method} %{URIPATHPARAM:uri_parm} HTTP/%{NUMBER:ver}\" %{NUMBER:status:int} %{NUMBER:body_bytes_sent:int} \"%{the_URI:referer}\" %{NUMBER:bytes_sent:int} %{NUMBER:request_length:int} \"%{GREEDYDATA:agent}\" \"-\" \"%{CACHE_STAT:cache_status}\" %{RE_TIME:request_time} %{RE_TIME:up_response_time}
NGINXACCESS2  %{IP:client} - - \[%{HTTPDATE:localtime}\] \"%{WORD:method} %{URIPATHPARAM:uri_parm} HTTP/%{NUMBER:ver}\" %{NUMBER:status:int} %{NUMBER:body_bytes_sent:int} \"%{URI:referer}\" %{NUMBER:bytes_sent:int} %{NUMBER:request_length:int} \"%{GREEDYDATA:agent}\" \"-\" \"%{CACHE_STAT:cache_status}\" %{RE_TIME:request_time} %{RE_TIME:up_response_time}

filebeat –> redis –> logstash –>elastic

前端采用了更为轻量的filebeat(还没感觉出来)直接读取保存为json格式的nginx日志,后台也不用再通过正则进行匹配。

filebeat

filebeat.prospectors:
- input_type: log
  paths:
    - /var/log/nginx/prod_access.json
  document_type: "access_log"
  fields:
    log_source: "prod_nginx"

output.redis:
  hosts: "redis_ip_address"
  port: 37000
  key: "%{[fields.log_source]}"    #使用前面自定义的变量作为key

logstash

这里用了logstash两种方式,一种读取redis,写入本地文件。另一个则导入elasticsearch,供搜索。

input {
    redis {
        host => "192.168.*.*"
        port => 7000
        key => "prod_nginx"
        data_type => "list"
    }

    redis {
        host => "192.168.*.*"
        port => 7000
        key => "shop_tomcat_254"
        type => "shop_tomcat"
        codec => "json"
        data_type => "list"
    }

    redis {
        host => "192.168.*.*"
        port => 7000
        key => "shop_tomcat_151"
        type => "shop_tomcat"
        codec => "json"
        data_type => "list"
    }

    redis {
        host => "192.168.*.*"
        port => 7000
        key => "p2p_tomcat_254"
        type => "p2p_tomcat"
        codec => "json"
        data_type => "list"
    }

    redis {
        host => "192.168.*.*"
        port => 7000
        key => "p2p_tomcat_151"
        type => "p2p_tomcat"
        codec => "json"
        data_type => "list"
    }

    redis {
        host => "192.168.*.*"
        port => 7000
        key => "p2p_info_254"
        type => "p2p_info"
        codec => "json"
        data_type => "list"
    }

    redis {
        host => "192.168.*.*"
        port => 7000
        key => "p2p_info_151"
        type => "p2p_info"
        codec => "json"
        data_type => "list"
    }

    redis {
        host => "192.168.*.*"
        port => 7000
        key => "wx_tomcat_254"
        type => "wx_tomcat"
        codec => "json"
        data_type => "list"
    }

}

filter {
    if [type] == "access_log" {
        mutate {
          gsub => ["message", "\\x", "\\\x"]
          remove_field => ["beat"]
        }

        json {
          source => "message"
        }
        date {
          locale => "en"
          match => ["localtime","dd/MMM/YYYY:HH:mm:ss Z"]
        }
        geoip {
            source => "clientip"
        }
    }
}

output {
    if [type] == "access_log" {
        elasticsearch {
            hosts => "elk.dev:9200"
            index => "prod_nginx_%{+YYYYMMdd}"  
            ##每日生成一个独立索引
        }
        file {
            path => "/data/applogs/nginx_prod/prod_access.log"
            codec => line { format => "%{message}"}
        }

    }

    if [fields][log_source] == "shop_tomcat_254" {
        file {
            path => "/data/applogs/shop_prod/254_catalina.out"
            codec => line { format => "%{message}"}
        }
    }

    if [fields][log_source] == "shop_tomcat_151" {
        file {
            path => "/data/applogs/shop_prod/151_catalina.out"
            codec => line { format => "%{message}"}
        }
    }

    if [fields][log_source] == "p2p_tomcat_254" {
        file {
            path => "/data/applogs/p2p_prod/254_catalina.out"
            codec => line { format => "%{message}"}
        }
    }
    if [fields][log_source] == "p2p_tomcat_151" {
        file {
            path => "/data/applogs/p2p_prod/151_catalina.out"
            codec => line { format => "%{message}"}
        }
    }

    if [fields][log_source] == "p2p_info_254" {
        file {
            path => "/data/applogs/pm_prod/254_catalina.out"
            codec => line { format => "%{message}"}
        }
    }
    if [fields][log_source] == "p2p_info_151" {
        file {
            path => "/data/applogs/pm_prod/151_catalina.out"
            codec => line { format => "%{message}"}
        }
    }

    if [fields][log_source] == "wx_tomcat_254" {
        file {
            path => "/data/applogs/weixi/catalina.out"
            codec => line { format => "%{message}"}
        }
    }

}

您可能感兴趣的与本文相关的镜像

Qwen-Image-Edit-2509

Qwen-Image-Edit-2509

图片编辑
Qwen

Qwen-Image-Edit-2509 是阿里巴巴通义千问团队于2025年9月发布的最新图像编辑AI模型,主要支持多图编辑,包括“人物+人物”、“人物+商品”等组合玩法

《一本书讲透Elasticsearch:原理、进阶与工程实践》读书笔记
芬奇的博客
03-27 1011
《一本书讲透Elasticsearch:原理、进阶与工程实践》读书笔记
ElasticSearch学习笔记
m0_50281408的博客
09-22 1669
Elaticsearch,简称为es,es是一个开源的高扩展的分布式全文检索引擎,它可以近乎实时的存储、检索数据;本身扩展性很好可以扩展到上百台服务器,处理PB级别的数据。
日志处理
a120100的专栏
11-12 131
# import logging# # filename: ⽂件名# # format: 数据的格式化输出. 最终在⽇志⽂件中的样⼦# # 时间-名称-级别-模块: 错误信息# # datefmt: 时间的格式# # level: 错误的级别权重, 当错误的级别权重⼤于等于leval的时候才会写⼊⽂件# logging.basicConfig(filename='x1.log',# ...
Elastic-job使用日志记录
hylr007的博客
12-12 2466
标题Elastic-job使用日志记录 最近新到一个项目组,主要是处理进行大批量数据的ETL,用到了Elastic-job,特此将使用的过程记录一下。 Elastic-job 是当当网的技术大牛根据zookeeper,Quartz开发的一套分布式调度解决方案。就是一个分布式的批量框架。这套框架很好用,开发者是自己人,资料也是中文的,在业内应用也很广泛。可以让我们很好的学习,使用。 官方网站介绍说明...
Elastic:什么是日志分析?
最新发布
Elastic 中国社区官方博客
09-09 869
日志分析是对IT系统生成的时序日志数据进行搜索、调查和可视化的过程,帮助团队发现系统异常、优化运营并预测未来问题。随着数据量激增,传统工具难以应对多样化的日志格式和大规模数据。现代方案通过集中管理、标准化和实时监控提升效率,应用场景涵盖性能优化、安全审计和用户行为分析等。Elasticsearch等工具提供可扩展的PB级处理能力,支持数据分层存储降低成本。日志分析正与AIOps结合,成为企业数字化转型的关键支撑。
【问题解决】ElasticSearch分页查询时数据顺序错乱/不一致的问题
iaoyou1的博客
05-15 2109
number_of_replicas:分片拥有多少个副本,需要部署到不同的节点上(就比如没有其它节点但是设置数量大于0的话,服务器会提示warning)ElasticSearch中索引可能是由多个分片构成的,并且每个分片可能拥有多个副本,其对应的设置时索引建立时的设置。利用关键字的hashcode,让相同查询条件作用到同一个分片上,保证每次输出结果一致,并在一定程度上保证查询效率。使用ElasticSearch分页查询时,每次输入同样的分页参数以及查询条件,得到的结果不一致的问题。
全文检索与日志管理 Elasticsearch(上)
,,,,,,,
08-14 916
在海量数据的今天,我们的应用程序有很多根据关键字快速搜索内容的需求。如:电商平台中的商品搜索,应用的全站检索,文库的内容搜索等等。本文章讲解主流的全文检索解决方案ElasticSearch7,配合Spring Data框架,在项目中快速实现全文检索。。
【Es】Elasticsearch日志管理与数据分析中的应用实践
weixin_43918863的博客
03-30 1284
Elasticsearch日志管理和数据分析领域展现出了强大的应用价值。通过高效的日志收集、存储和搜索,以及深入的数据分析和可视化,为企业提供了全面的数据洞察能力。无论是在系统运维还是业务决策方面,Elasticsearch 都能够帮助企业更好地利用数据,提升竞争力。在实际应用中,根据不同的业务需求和数据特点,合理配置和优化 Elasticsearch,将能够发挥其最大的效能。希望本文能为你在 Elasticsearch 的应用实践中提供有益的参考和指导。
7、Elastic ML:日志分类、API管理与数据预测
u9v0w的博客
08-24 27
本文详细介绍了Elastic ML的核心功能,包括日志分类、API管理和数据预测。日志分类部分探讨了如何通过字符串相似度聚类算法对非结构化日志数据进行整理和异常分析。API管理部分演示了如何通过API实现Elastic ML作业的自动化配置和执行。数据预测部分涵盖了预测的基本原理、单时间序列和多时间序列预测的操作流程及其应用场景。文章还讨论了预测的不确定性以及预测误差的来源,最后总结了Elastic ML在数据分析和预测方面的潜力和局限性。
Elasticsearch核心知识笔记整理
月光冷锋的博客
10-15 1017
本文内容主要从《Elasticsearch源码解析与优化实战》一书中摘录总结成文,可以让我们以最快的速度回顾相关的核心知识点。文章成文以常见的领域模块组织。
ElasticSearch学习笔记之一:介绍及EFK部署
大龄IT民工
06-03 1347
The Elastic Stack,包括Elasticsearch、Kibana、Beats和Logstash(也成为ELK Stack)Elasticsearch:简称ES,是一个开源的高扩展的分布式全文搜索引擎,是整个Elastic Stack技术栈的核心。它可以近乎实时地存储、检索数据;本身扩展性很好,可以扩展到上百台服务器,处理PB级的数据。Kibana:是一个免费且开放的用户界面,能够让你对Elasticsearch数据进行可视化,并让您在Elastic Stack中进行导航。
Nodejs实现自动清理elasticsearch过期索引(日志清理)
02-17
该篇文章源码:Nodejs实现自动清理elasticsearch过期索引(日志清理)--学习笔记 http://blog.youkuaiyun.com/gzy11/article/details/55260615
ES删除日志
weixin_39318540的博客
08-24 4008
因为ES保存日志是永久保存,所以需要定期删除一下日志,下面命令为删除指定时间前的日志 curl -X DELETE http://xx.xx.com:9200/logstash-*-`date +%Y-%m-%d -d "-$n days"` 通过curl发送DELETE命令给elasticsearch服务器,进行日志删除操作。命令示例如下: curl -XDELETE 'http://192.168.1.135:9200/*-2020.07.11*' curl -XDELETE...
Elasticsearch如何搜索日志并存储
songkai558919的博客
10-24 2743
Elasticsearch 通过与日志采集工具的结合(如 Logstash、Filebeat),可以实现日志的实时采集、存储和搜索。它通过倒排索引实现了对海量日志数据的快速搜索,并且支持复杂的聚合和分析功能。在分布式架构下,Elasticsearch 具有很高的扩展性和高可用性,非常适合处理日志数据的场景。
ELK日志管理系统搭建
weixin_64434886的博客
06-12 765
ELK日志管理系统搭建,springboot集成
elastic-job 运维篇6 事件追踪和console端查看日志信息
健康平安的活着的专栏
11-12 2351
1.设置4个分片,10秒执行一次。测试1:测试窗口1不关闭,再次运行main方法查看控制台日志,注意修改中的 server.port,保证端口不冲突测试2:测试窗口1和测试窗口2不关闭,再次运行2次main方法,达到4个任务实例,查看控制台日志测试3:测试窗口1和测试窗口2不关闭,将测试窗口3和测试窗口4任务停止测试4:测试窗口1不关闭 将测试窗口2任务停止。
始于日志,不止于日志Elastic Stack全面介绍
02-16 729
Elastic Stack是公认的日志监测领域的领导者,但是实际上其应用场景却远远不止于日志,在基础架构监测、APM、客户旅程监测、企业内部搜索、地理位置信息应用、SIEM、终端安全、商业分析等方面都有比较完善的解决方案。
Flink 替换 Logstash 解决日志收集丢失问题
字节跳动云原生计算官方账号
11-23 1270
ELKibana,功能涵盖了从日志收集、解析、查询、分析、可视化等完整的解决方案。上图描述了 ELK 里各组件的关系,基于 libbeat框架的各种 beats 工具将日志及各种数据进行收集,可以直接写入 ES,也可以先写入到 Logstash 进行解析和处理再写入到 ES。如下图所示,Logstash 主要包括三个部分:输入插件:负责从各种不同的 source 读取数据,如文件、beats、Kafka等;
ELK 性能(1) — Logstash 性能及其替代方案
weixin_34001430的博客
11-28 666
ELK 性能(1) — Logstash 性能及其替代方案 介绍 当谈及集中日志Elasticsearch 时,首先想到的日志传输(log shipper)就是 Logstash。开发者听说过它,但是不太清楚它具体是干什么事情的: 当深入这个话题时,我们才明白集中存储日志通常隐含着很多的事情,Logstash 也不是唯一的日志传输工具(log shipper) 从数据源获取数据:文件、UNI...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值