Logstash合并多行日志为一行(Tomcat日志的合并和grok处理)

最新推荐文章于 2023-11-24 11:10:55 发布
原创 最新推荐文章于 2023-11-24 11:10:55 发布 · 2.7k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何使用Logstash将Tomcat的catalina.out日志中以日期开头的多行合并为一条记录,并进行grok处理。配置文件中的注释有助于理解和排除错误,成功运行logstash后,日志匹配完成。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

tomcat的catalina.out日志如下:

[root@localhost logs]# cat to_catalina.log
-----------------alarm start------------------------
--------------mail start---------------
-----------------alarm start------------------------
--------------mail start---------------
[2020-04-01 03:37:33.595] ERROR [com.base.util.MailUtils @348] - 发送邮件失败!
javax.mail.MessagingException: Could not connect to SMTP host: smtphz.qiye.163.com, port: 25
	at com.sun.mail.smtp.SMTPTransport.openServer(SMTPTransport.java:1961) ~[mail-1.4.7.jar:1.4.7]
	at com.sun.mail.smtp.SMTPTransport.protocolConnect(SMTPTransport.java:654) ~[mail-1.4.7.jar:1.4.7]
	at javax.mail.Service.connect(Service.java:295) ~[mail-1.4.7.jar:1.4.7]
	at javax.mail.Service.connect(Service.java:176) ~[mail-1.4.7.jar:1.4.7]
	at com.base.util.MailUtils.sendMail(MailUtils.java:344) [classes/:?]
	at com.common.service.sysemail.SEmailService.sendEmail(SEmailService.java:109) [classes/:?]
	at com.timer.SysEmailOneMinuteTask.doTask(SysEmailOneMinuteTask.java:74) [classes/:?]
	at sun.reflect.GeneratedMethodAccessor670.invoke(Unknown Source) ~[?:?]
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) ~[?:1.8.0_181]
	at java.lang.reflect.Method.invoke(Method.java:498) ~[?:1.8.0_181]
	at org.springframework.util.MethodInvoker.invoke(MethodInvoker.java:269) [spring-core-4.0.2.RELEASE.jar:4.0.2
最低0.47元/天 解锁文章

200万优质内容无限畅学
logstash 多行合并
zhaoyangjian724的专栏
11-29 1297
logstash
ELK+Kafka+Filebeat日志分析系统详细!!!
m0_64422440的博客
07-13 1538
ElasticSearch是一个基于Lucene的开源分布式搜索服务。只搜索分析日志特点:分布式,配置简洁,自动发现,索引自动分片,索引副本机制,多数据源等。它提供了一个分布式多用户能力的全文搜索引擎。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是第二流行的企业搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。在elasticsearch集群中,所有节点的数据是均等的。安装软件主机名IP地址系统版本mes-1-zk。
logstash filebeat多行日志 合并
cagezxy的博客
11-17 2300
filebeat logstash 配置多行日志 合并
k8s elk之logstash日志数据筛选、合并、字段匹配、索引区分
04-23 1294
【代码】k8s elk之logtash日志数据筛选、合并、字段匹配、索引区分。
logStash对于多行日志合并()
千里之行始于足下
01-18 3803
日志总是免不了出异常 ,或者开发人员打出的日志 是json格式 多行的就需要对 日志多行进行合并 ,这个很常用 ,之后我会再开一个flume合并多行的情况 诸如此类的日志:[ERROR] [] 2017-10-23 09:34:37,855 操作超时,请重新登录 com.*****.*******.exception.MobileException: 操作超时,请重新登录 at com.*
ELK 日志服务
m0_37749659的博客
08-02 814
logstash 格式转换处理,发送到es。
elk日志分析平台以及数据的可视化
Forever 的博客
09-13 7965
  ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它...
ELK统一日志收集系统搭建
天空趋虚
05-22 753
安装软件 分别安装 elasticsearch、logstash、kibana、filebeat elasticsearch https://www.elastic.co/cn/downloads/elasticsearch logstash https://www.elastic.co/cn/downloads/logstash kibana https://www.elastic.co/cn/downloads/kibana filebeat https://www.elastic.co/cn/dow
ELK下logstash收集java日志,多行合并一行
qq_40907977的博客
04-22 2697
介绍 使用codec的multiline插件实现多行匹配,这是一个可以将多行进行合并的插件,而且可以使用what指定将匹配到的行与前面的行合并还是后面的行合并。 1.java日志收集测试 input { stdin { codec => multiline { pattern => "^\[" //以"["开头进行正则匹配 negate => tru...
java的日志合并
12-27
合并两个日子文件File file0=new File("D:\\230.log"); File file1=new File("D:\\231.log"); File file=new File("D:\\1.log"); BufferedReader reader0=null; BufferedReader reader1=null; BufferedWriter writer=null;
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
Logstash -filebeat 6.5 多行日志合并
Beckham的博客
05-09 1647
日志内容: authenticatorClient: <82fa722c1abd2ee6effd39ac954f3927> loginMode: <2> timestamp: <509110741> version: <48> 2020-05-09 11:07:41.200 |INFO | SENT: status:
Logstash日志多行一行日志错行)
珊瑚海的博客
05-09 8993
我们在用Logstash收集日志的时候会碰到日志会错行,这个时候我们需要把错的行归并到上一行,使某条数据完整;也防止因为错行导致其他字段的不正确。 在Logstash-filter插件中,multiline插件可以解决这个问题,举个例子如下: 假如我们的日志形式如下: 2016-04-05 13:39:52.534 1.28.253.193 20160311090433074f5b47c04
logstash之multiline插件,匹配多行日志
weixin_34334744的博客
12-09 259
在外理日志时,除了访问日志外,还要处理运行时日志,该日志大都用程序写的,比如log4j。运行时日志跟访问日志最大的不同是,运行时日志多行,也就是说,连续的多行才能表达一个意思。 在filter中,加入以下代码: filter {    multiline {  } }  如果能按多行处理,那么把他们拆分到字段就很容易了。 字段属性: 对于multiline插件来说,有三个设置比较重要:nega...
centos6.5_64bit_tomcat日志合并在一个.log下
weixin_30376163的博客
04-28 240
问题 tomcat每次启动时,自动在logs目录下生产以下日志文件,且每天都会生成对应日期的一个文件,造成日志文件众多: 目的 Tomcat以上日志都输出到同一个文件中。 修改步骤 打开Tomcat目录conf\logging.properties,修改如下,所有日志输出到tomcat开头的文件中 1catalina.org....
logstash通过tcp收集日志
weixin_30426957的博客
05-29 783
(1)标准输入输出tcp模块 1.修改配置文件 #vim /etc/logstash/conf.d/tcp.conf input { tcp { port => "5600" mode => "server" type => "tcplog" } } ...
ELK: logstash gork filter 多个模式(pattern)匹配规则语法多行日志匹配设置
weixin_45357522的博客
11-24 2808
项目里用logstash分析日志,由于有多种模式(pattern)需要匹配,新版本只支持新语法。本文介绍了新的语法,并且演示了如何让一条日志包含多行
logstash收集java日志,多行合并一行
weixin_30668887的博客
05-29 705
使用codec的multiline插件实现多行匹配,这是一个可以将多行进行合并的插件,而且可以使用what指定将匹配到的行与前面的行合并还是后面的行合并。 1.java日志收集测试 input { stdin { codec => multiline { pattern => "^\[" /...
logstash 提取多行日志的信息
最新发布
03-16
### Logstash 提取多行日志的配置 Logstash 的 `multiline` 插件可以用来处理多行日志条目。通过该插件,可以从多个行中组合成单个事件。以下是实现这一功能的具体方法。 #### 配置示例 以下是一个典型的 Logstash 配置文件片段,展示如何使用 `multiline` 进行多行日志提取: ```ruby input { file { path => "/path/to/logs/*.log" start_position => "beginning" sincedb_path => "/dev/null" # 确保每次重启都重新读取文件 } } filter { multiline { pattern => "^%{YEAR}-%{MONTHNUM}-%{MONTHDAY}" # 假设每行以日期开头的日志为新记录 negate => true # 如果不匹配模式,则认为属于上一条日志的一部分 what => "previous" # 将当前行附加到前一行 } grok { # 使用 Grok 解析最终的完整日志消息 match => { "message" => "%{GREEDYDATA:message_content}" } patterns_dir => ["/path/to/custom/patterns"] # 自定义模式路径可选[^3] } } output { elasticsearch { hosts => ["http://localhost:9200"] index => "logs-multiline" } } ``` 上述配置中的关键部分解释如下: - **Input Section**: 定义了输入源为 `/path/to/logs/*.log` 文件,并设置从头开始读取日志数据。 - **Filter Section (Multiline)**: - `pattern`: 正则表达式用于识别新的日志条目。如果某一行不符合此正则表达式,则被认为是之前日志条目的延续。 - `negate`: 设置为 `true` 表明未匹配的行应被合并到之前的日志条目中。 - `what`: 指定将这些未匹配的行追加到何处(这里是前一行)。 - **Grok Filter**: 对于完整的多行日志条目,进一步解析其结构化字段以便存储或查询。 - **Output Section**: 输出目标是 Elasticsearch 实例,索引名称为 `logs-multiline`. #### 注意事项 为了确保正确处理多行日志,需注意以下几点: 1. 日志格式的一致性规律性至关重要。例如,在上面的例子中假设每一行以标准日期时间戳作为起始标志来区分不同日志项。 2. 可能需要调整 `sincedb_path` 参数以适应特定需求;通常将其指向 `/dev/null` 是为了避免重复消费旧有日志内容。 3. 若涉及复杂自定义日志格式,可能还需要扩展默认提供的 Grok 模式库或者创建自己的模式集合并加载它们。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值