【ELK-logstash】 grok解析耗时优化

最新推荐文章于 2025-07-10 15:54:25 发布
置顶 最新推荐文章于 2025-07-10 15:54:25 发布
阅读量1.7k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: elk 文章标签: elk logstash grok
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/l2000h_ing/article/details/82421051
本文讨论了一种改进grok解析方法,通过合并匹配条件并添加关键匹配规则,有效缩短了日志文件数据处理时间。重点介绍了如何在kibana中调试和优化解析过程,最终实现解析效率提升。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

日志文件数据

I0902 05:56:12.855851       1 trace.go:76] Trace[540753199]: "GuaranteedUpdate etcd3: *core.Node" (started: 2018-09-02 05:56:11.933514274 +0000 
UTC m=+171.998961960) (total time: 922.28044ms):
Trace[540753199]: [922.15204ms] [920.458996ms] Transaction committed
I0902 05:56:12.855507       1 wrap.go:42] GET /api/v1/nodes/192.168.10.224/status?timeout=10s: (465.699309ms) 200 [[kubelet/v1.10.2 (linux/amd64) kubernetes/81753b1] 192.168.10.186:42050]

grok解析

filter{
  #masternode
  if[fields][module]=="k8s" {
  if[fields][name]=="apiserver" {
      grok{
  	    id => "k8s-apiserver"
        match => {
          "message" => ["^%{LOCALLEVLE:[k8s][apiserver][level]}%{K8STIME:[k8s][apiserver][timestamp]}\s*%{DATA:[k8s][apiserver][thread]}\s%{DATA:[k8s][apiserver][class]}\] %{DATA:[k8s][apiserver][method]} %{DATA:[k8s][apiserver][url]}\s\(%{DATA:[k8s][apiserver][usetime]}\) %{DATA:[k8s][apiserver][status]}\s%{GREEDYDATA:[k8s][apiserver][message]}",
          "^%{LOCALLEVLE:[k8s][apiserver][level]}%{K8STIME:[k8s][apiserver][timestamp]}\s*%{DATA:[k8s][apiserver][thread]}\s%{DATA:[k8s][apiserver][class]}\] %{GREEDYDATA:[k8s][apiserver][message]}"]
        }
        pattern_definitions => {
          "LOCALLEVLE" => "\w"
          "K8STIME" => "[0-9]+ ([0-9]|\s)?[0-9]:[0-9][0-9]:[0-9][0-9](\.[0-9]+)?"
        }
        remove_field => "message"
      }
      date {
        match => [ "[k8s][apiserver][timestamp]", "MMdd HH:mm:ss.SSSSSS" ]
        timezone => "+00:00"
      }
  }

由于这个匹配条件是多个正则表达式,解析时第一个不正确,解析第二个正确。

grok对一个event耗时处理在70ms/e,花费时间比较长了。

修改如下:

filter{
  #masternode
  if[fields][module]=="k8s" {
  if[fields][name]=="apiserver" {
      grok{
        id => "k8s-apiserver"
        match => {
          "message" => "^%{LOCALLEVLE:[k8s][apiserver][level]}%{K8STIME:[k8s][apiserver][timestamp]}\s*%{DATA:[k8s][apiserver][thread]}\s%{DATA:[k8s][apiserver][class]}\] (%{K8sMETHOD:[k8s][apiserver][method]} %{DATA:[k8s][apiserver][url]}\s\(%{DATA:[k8s][apiserver][usetime]}\) %{DATA:[k8s][apiserver][status]}\s)?%{GREEDYDATA:[k8s][apiserver][message]}"
        }
        pattern_definitions => {
          "LOCALLEVLE" => "\w"
          "K8STIME" => "[0-9]+ ([0-9]|\s)?[0-9]:[0-9][0-9]:[0-9][0-9](\.[0-9]+)?"
          "K8sMETHOD" => "PATCH|GET|PUT|POST|DELETE"
        }
        remove_field => "message"
      }
      date {
        match => [ "[k8s][apiserver][timestamp]", "MMdd HH:mm:ss.SSSSSS" ]
        timezone => "+00:00"
      }
  }

在kibana上进行grok debugger调试

结果在kibana的x-pack显示,只有0.02ms/s。

总结:在grok解析错误时会影响时间会延长,把2个匹配条件合并成一个条件,重点是添加K8sMETHOD 这个匹配规则。兼容上面出现的两种日志数据格式。

Logstash的性能测试 二
点火三周的专栏
09-15 2521
当然,我们需要的不是logstash的管道速度,而是需要知道在特定filter配置下,logstash的吞吐量。 因此,可以把输入改为正常的log输入,比如syslog input { generator { count => 2000000 message => ',Sep 7 09:30:01,HostName=sz180001,IP=lumpb.c
Logstash grok匹配时间戳
weixin_40133285的博客
03-17 4556
Logstash grok 匹配时间戳 网络设备、安全设备、操作系统、数据库管理系统、业务应用时间戳 常见时间戳类型 | 表达式 | 名称 | 匹配例子| |--|--|--| |DATE_US| 美国时间 | 10-01-1892、10/01/1892/ | | DATE_EU | 欧洲日期格式 | 01-10-1892、01/10/1882、01.10.1892 | |ISO8601_TIMEZONE | ISO8601时间格式 | +10:23-1023 | | TIMESTAMP_ISO8601
Grok-4模型深度评测 + API Key获取指南:一文了解Xai最新旗舰模型!
最新发布
iduiui997的博客
07-10 994
然而,最新的排行榜快照显示,Google 的 Gemini-2.5-Pro 以 1477 的高分位居榜首,而 Grok-3-Preview 的评分为 1422,榜单上并无“Grok-4”的正式条目。这与一个无所不能的“通用智能”叙事相矛盾,并暗示着 AI 市场的未来,或许并非由单一的“王者”主导,而是一系列各具专长的模型的共舞。MoE 模型(如谷歌的 Gemini 1.5 和 Databricks 的 DBRX)通过一个精巧的路由机制,在处理任何给定的输入时,只激活模型总参数的一小部分“专家”网络。
logstash 吞吐量优化_1002-谈谈ELK日志分析平台的性能优化理念
weixin_39864738的博客
12-20 372
在生产环境中,我们为了更好的服务于业务,通常会通过优化的手段来实现服务对外的性能最大化,节省系统性能开支;关注我的朋友们都知道,前段时间一直在搞ELK,同时也记录在了个人的博客篇章中,从部署到各个服务应用的采集都做了详细的介绍,但是并没有关于ELK方面的优化,那么,我们对于这些日志分析平台,我们如何去优化呢?优化的手段又有哪些呢?下面请听我娓娓道来~【ES优化】ES在前面的部署环节(https:/...
强烈推荐:Logstash插件Grok解析器 —— 您的数据日志管理利器!
gitblog_00098的博客
06-23 428
强烈推荐:Logstash插件Grok解析器 —— 您的数据日志管理利器! 一、项目介绍 Logstash是一款强大的数据处理工具,用于收集、过滤和传输来自不同来源的日志数据。而我们今天要推荐的Logstash插件——logstash-filter-grok,则专注于将非结构化日志数据转化为结构化信息,极大提升数据分析效率。 logstash-filter-grok完全免费且开放源码,采用Apac...
logstash 吞吐量优化_ELK+Kafka优化
weixin_39682940的博客
12-20 1390
说明接着上一篇的部署文章后,本篇就跟着笔者来看看相关组件的调优吧,其实优化方式可粗略分为:水平优化和垂直优化。水平优化主要就是水平扩展伸缩,通过 "量变" 达到 "质变" ;而垂直优化主要就是节省服务器资源,对服务器和部署的服务做到最大优化。以下只是大概的优化方向,小伙伴们根据自身的实际业务环境来进行相应的优化!硬件优化服务组件CPU内存硬盘Filebeat高高低Logstash高高低Kafka高...
ELK + filebeat + kafka 非集群 搭建日志管理系统
weixin_44053548的博客
10-15 906
ELK + filebeat + kafka 搭建日志管理系统 因为当前项目遇到报错都是要手动去服务器 查看日志,比较耗时所以公司决定使用 日志管理系统,正好有机会学习一下 ELK介绍: ELK = Elasticsearch, Logstash, Kibana 是一套实时数据收集,存储,索引,检索,统计分析及可视化的解决方案。最新版本已经改名为Elastic Stack,并新增了Beats项目。 Elasticsearch 是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点
【elasticSearch系】3.完整搭建详尽版elk
run_boy_2022的博客
08-12 767
话不多说,我们先看下经典的elk 是由哪些组件搭建组合起来的。
监控系统---(二)ELK日志分析平台
sss
11-30 2572
日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。 通常,日志被分散在储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的syslog,将所有服务器上的日志收集汇总。 集中化管理日志后,日志的统计和检索又成为一件比较麻烦的事情,一般.
创业公司做数据分析(四)ELK日志系统
茅庐
01-07 1万+
本文将重点探讨数据采集层中的ELK日志系统,结合自身实践来介绍如何使用ELK系统、使用中的问题以及如何解决。ELK是一套开源的集中式日志数据管理的解决方案,由Elasticsearch、Logstash和Kibana三个系统组成。
Logstash:你喜欢 Grok 吗?
Elastic 中国社区官方博客
03-27 816
Grok(动词)直觉地或同理心地理解(某事)。解析日志数据时最常见的任务之一是将原始文本行分解为一组其他工具可以操作的结构化字段。如果你使用的是 Elastic Stack,则可以利用 Elasticsearch 的聚合和 Kibana 的可视化,从日志中提取的信息(如 IP 地址、时间戳和域特定数据)中回答业务和运营问题。对于 Logstash,此解构工作由执行,这是一个过滤器插件,可帮助你描述日志格式的结构。有,它们抽象了诸如和等概念。简单吧?是的!太棒了!我们在这里完成了吗?不!因为...
Kubernetes 是如何控制并发和资源变更的呢?
云原生实验室
04-01 1859
并发控制并发控制指的是当多个用户同时更新运行时,用于保护数据库完整性的各种技术。并发机制不正确可能导致脏读、幻读和不可重复读等此类问题。并发控制的目的是保证一个用户的工作不会对另一个用户的工作产生不合理的影响。悲观锁悲观锁在操作数据时比较悲观,认为别人会同时修改数据。因此操作数据时直接把数据锁住,直到操作完成后才会释放锁;上锁期间其他人不能修改数据。悲观锁主要用于数据争用...
logstash笔记(二)——grok之match
weixin_30693183的博客
03-30 594
官方文档: https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html 基本语法: %{SYNTAX:SEMANTIC} SYNTAX:定义的正则表达式名字(系统插件自带的默认位置:$HOME/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-2....
Graylog之Grok解析
这有一片海的博客
12-24 1769
通常情况下,原始日志被采集上来之后,需要通过编写正则进行日志字段的解析,以便用来进行日志分析,看板的制作。
记一次使用grok解析失败原因_grokparsefailure
caicaizhangwei的博客
09-09 2991
记一次使用grok解析失败原因_grokparsefailure 最近使用grok过滤清洗日志数据,一个不注意,logstash日志解析后一直有个_grokparsefailure标签,最终发现是grok表达式有错。 解决过程 测试日志文本 : 目的是获取日志文本里的“read” "\r\n---------- 入参开始 ----------\r\nOPERATE : read\r\nSPENDTIMExxxxx 错误正则表达式 : (?<=OPERATE : )(.*?)(?=\s)
Logstash Grok详解
叱咤少帅的博客
03-18 1万+
介绍 LogstashGrok 可以使蹩脚的、无结构的日志内容结构化 需要注意的地方 grok 模式是正则表达式,因此这个插件的性能受到正则表达式引擎严重影响,效率并不高。如果通过给定的匹配格式匹配不上会Kibana查询的时候打上tag 为 grok failed 的标签 语法详解 grok模式的语法如下: %{SYNTAX:SEMANTIC} SYNTAX:代表匹配值的类型,例如3.44可以...
ELKLogstash性能调优
qq_40907977的博客
03-03 4443
介绍 Logstash 是一款强大的数据处理工具,它可以实现数据传输,格式处理,格式化输出,还有强大的插件功能,常用于日志处理。 Logstash优化 Logstash建议在修改配置项以提高性能的时候,每次只修改一个配置项并观察其性能和资源消耗(cpu、io、内存)。性能检查项包括: 1、检查input和output设备 1)、CPU 2)、Memory 3)、io 1、磁盘io 2、网络io 2...
logstashgrok过滤
热门推荐
yanggd1987的专栏
01-11 2万+
简介  前面我们的nginx日志编码使用的json,logstash直接输入预定义好的 JSON 数据,这样就可以省略掉 filter/grok 配置,但是在我们的生产环境中,日志格式往往使用的是普通的格式,因此就不得不使用logstash的filter/grok进行过滤,下面我们就来讲下如何配置。配置1.nginx日志格式 为了帮助我们有效的理解grok的正则表达式,因此在这我们将日志格式定义的
掌握Logstash Grok插件:高效解析日志数据
Logstash众多插件中,logstash-filter-grok插件用于解析非结构化的日志数据。Grok是一种轻量级的正则表达式语言,可以方便地匹配复杂的日志模式,将非结构化的日志数据转换成结构化的数据。这个过程通常称为日志...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值