logstash 同时支持多个管道_ELK logstash 处理多行事件(25th)

最新推荐文章于 2022-04-07 09:33:35 发布
最新推荐文章于 2022-04-07 09:33:35 发布
阅读量323 收藏
点赞数
文章标签: logstash 同时支持多个管道
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_30438053/article/details/114729135
版权
本文介绍如何使用Logstash的multilinecodec插件处理多行日志,包括合并Java堆栈跟踪、C风格行续行及时间戳日志等场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

有些日志是分多行输出的,为了能正确的处理这些多行的事件,logstash必须哪些行是单一事件的一部分。多行事件处理是比较复杂的,需依赖正确的事件顺序。最佳方法是尽早的在管道中处理以保证日志有序。这就是本文要说到的logstash管道multiline codec,专门来处理合并多行事件的。

multiline插件最重要的方面:

pattern 选项指定一个正则表达式。 事件匹配指定的正则表达式来确定是前一个事件的内容还是新的事件的内容。可以使用grok正则表达式的模板来配置该选项。

what 选项有两个选择值:previous 或者 next。previous 值指定行匹配pattern选项的内容是上一行的一部分。 next 指定行匹配pattern选项的内容是下一行的一部分。* negate选项适用于 multiline codec 行不匹配pattern选项指定的正则表达式。

了解更多还需要看看multiline codec 和 multiline filter 插件的配置项。

下面介绍三个例子:

java 堆栈跟踪单个事件

C-style 线连续成单个事件

从时间标记事件

java stack traces

Java stack traces  包含多行内容,后面几行与初始行缩进,如下所示:

Exception in thread "main" java.lang.NullPointerException

at com.example.myproject.Book.getTitle(Book.java:16)

at com.example.myproject.Author.getBookTitles(Author.java:25)

at com.example.myproject.Bootstrap.main(Bootstrap.java:14)

1

2

3

4

Exceptioninthread"main"java.lang.NullPointerException

atcom.example.myproject.Book.getTitle(Book.java:16)

atcom.example.myproject.Author.getBookTitles(Author.java:25)

atcom.example.myproject.Bootstrap.main(Bootstrap.java:14)

logstash配置如下:

input {

stdin {

codec => multiline {

pattern => "^\s"

what => "previous"

}

}

}

1

2

3

4

5

6

7

8

input{

stdin{

codec=>multiline{

pattern=>"^\s"

what=>"previous"

}

}

}

该配置将任何以空白开始的行与上一行合并。

输出的结果如下:

{

"@timestamp" => "2015-12-11T07:32:20.872Z",

"message" => "Exception in thread \"main\" java.lang.NullPointerException\n at com.example.myproject.Book.getTitle(Book.java:16)\n at com.example.myproject.Author.getBookTitles(Author.java:25)\n at com.example.myproject.Bootstrap.main(Bootstrap.java:14)Settings: Default filter workers: 4",

"@version" => "1",

"tags" => [

[0] "multiline"

],

"host" => "localhost"

}

1

2

3

4

5

6

7

8

9

{

"@timestamp"=>"2015-12-11T07:32:20.872Z",

"message"=>"Exception in thread \"main\" java.lang.NullPointerException\n        at com.example.myproject.Book.getTitle(Book.java:16)\n        at com.example.myproject.Author.getBookTitles(Author.java:25)\n        at com.example.myproject.Bootstrap.main(Bootstrap.java:14)Settings: Default filter workers: 4",

"@version"=>"1",

"tags"=>[

[0]"multiline"

],

"host"=>"localhost"

}

line continuations

多种编程语言使用\字符在一行末尾表示该行继续,如:

printf ("%10.10ld \t %10.10ld \t %s\

%f", w, x, y, z );

1

2

printf("%10.10ld  \t %10.10ld \t %s\

%f",w,x,y,z);

logstash配置如下:

input {

stdin {

codec => multiline {

pattern => "\\$"

what => "next"

}

}

}

1

2

3

4

5

6

7

8

input{

stdin{

codec=>multiline{

pattern=>"\\$"

what=>"next"

}

}

}

该配置将以\字符结尾的任何行合并到下一行。

输出的结果如下:

{

"@timestamp" => "2015-12-11T07:46:02.116Z",

"message" => "printf (\"%10.10ld \\t %10.10ld \\t %s\\\n %f\", w, x, y, z );",

"@version" => "1",

"tags" => [

[0] "multiline"

],

"host" => "localhost"

}

1

2

3

4

5

6

7

8

9

{

"@timestamp"=>"2015-12-11T07:46:02.116Z",

"message"=>"printf (\"%10.10ld  \\t %10.10ld \\t %s\\\n  %f\", w, x, y, z );",

"@version"=>"1",

"tags"=>[

[0]"multiline"

],

"host"=>"localhost"

}

timestamps

有些日志是以时间戳开始的,如:

[2015-08-24 11:49:14,389][INFO ][env ] [Letha] using [1] data paths, mounts [[/

(/dev/disk1)]], net usable_space [34.5gb], net total_space [118.9gb], types [hfs]

1

2

[2015-08-2411:49:14,389][INFO][env][Letha]using[1]datapaths,mounts[[/

(/dev/disk1)]],netusable_space[34.5gb],nettotal_space[118.9gb],types[hfs]

logstash配置如下:

input {

stdin {

codec => multiline {

pattern => "^%{TIMESTAMP_ISO8601} "

negate => true

what => previous

}

}

}

1

2

3

4

5

6

7

8

9

input{

stdin{

codec=>multiline{

pattern=>"^%{TIMESTAMP_ISO8601} "

negate=>true

what=>previous

}

}

}

该配置使用negate => true 选项来指定任何不是以时间戳开始的行属于前行。也就是不匹配pattern的行都属于前行的内容的一部分。

输出的结果如下:

{

"@timestamp" => "2015-12-11T08:08:37.013Z",

"message" => "[2015-08-24 11:49:14,389][INFO ][env ] [Letha] using [1] data paths, mounts [[/\n(/dev/disk1)]], net usable_space [34.5gb], net total_space [118.9gb], types [hfs]",

"@version" => "1",

"tags" => [

[0] "multiline"

],

"host" => "localhost"

}

1

2

3

4

5

6

7

8

9

{

"@timestamp"=>"2015-12-11T08:08:37.013Z",

"message"=>"[2015-08-24 11:49:14,389][INFO ][env                      ] [Letha] using [1] data paths, mounts [[/\n(/dev/disk1)]], net usable_space [34.5gb], net total_space [118.9gb], types [hfs]",

"@version"=>"1",

"tags"=>[

[0]"multiline"

],

"host"=>"localhost"

}

后面看应用处理mysql慢查询日志。

沙鸥123
关注
logstash解析日志-multiline多行日志解析示例
兔纸先森的后花园
07-20 2479
Codec 是 logstash 从 1.3.0 版开始新引入的概念(Codec来自Coder/decoder 两个单词的首字母缩写)。在此之前,logstash支持纯文本形式输入,然后以过滤器处理它。但现在,我们可以在输入期处理不同类型的数据,这全是因为有了 codec 设置。所以,这里需要纠正之前的一个概念。Logstash 不只是一个input | filter | output...
rpm -ivh logstash.rpm 安装rpm版Logstash,无法读取配置文件Logstash.yml
A_stranger的专栏
12-13 1285
直接看文章末尾,前面不要看 使用的是Redhat 7 ,Logstash版本为6.8.0 使用systemctl 命令启动 [root@dycipvr00534 logstash]# systemctl restart logstash.service WARNING: Could not find logstash.yml which is typically located in ...
logstash 处理多行
weixin_30813225的博客
08-25 418
2.2.2 多行事件编码: zjtest7-frontend:/usr/local/logstash-2.3.4/bin# ./plugin list | grep multi Ignoring ffi-1.9.13 because its extensions are not built. Try: gem pristine ffi --version 1.9.13 logstash-...
logstash处理多行日志-处理java堆栈日志
huan的学习记录
05-11 2947
logstash处理多行日志-处理java堆栈日志一、背景二、需求三、实现思路1、分析日志2、实现,编写pipeline文件四、注意事项五、参考文档 一、背景 在我们的java程序中,经常会输出一些日志,来帮助我们来分析一些问题。但是对于我们的异常来说,它可能存在多行,因此我们就需要处理这种多行事件。在 logstash 中,我们可以借助 multiline codec 来处理。 二、需求 假设我们有如下数据。 129904 [2021-05-11 13:31:19] [ip=] INFO o.s.c.
logstash匹配多行日志
weixin_34175509的博客
04-07 1111
在工作中,遇到一个问题就是日志的处理,首选的方案就是ELFK(filebeat+logstash+es+kibana) 因为之前使用过logstash采集日志的时候,非常的消耗系统的资源,所以这里我选择了更加轻量级的日志采集器fiebeat, 我这里是使用filebeat采集日志,然后把日志传给logstash 进行匹配解析。然后存储到es里面,最后使用kibana进行页面上的展示 我这里的环境是...
logstash多任务多管道pipeline配置启动,方案分析
UnicornRe_xiabin_无聊的时候,喜欢去超市买一大瓶纯牛奶,喝个精光
11-26 3988
文章目录6.0以下方案6.0以下方案分析启动方式6.0以上方案启动方式 6.0以下方案 logstash处理多个输入输出源方案 没有使用多管道,两个任务,jdbc demo 手写自定义mysql.conf input { stdin {} jdbc { # 第一个任务对应一个type; type => "type_1" # ...省略 # 同步频率(分 时 天 月 年),默认每分钟同步一次; schedu
elk 问题故障处理实录
鱼的博客
08-12 6969
1.问题描述 elk节点宕机 重启节点 及logstash后报错信息 报错信息资料描述: Elasticsearch索引只读 今天添加索引时发现kibana添加索引不生效,页面也没有报错,没有创建成功只是一闪而过。 另外发现各项目日志与当前时间差异很大,filebeat一直报错io timeout 具体报错如下: filebeat无法给logstash传输数。 ip使用x代替 logstash/async.go:235 Failed to publish events caused by: read
elk 业务日志_自建ELK vs 日志服务(SLS)全方位对比-阿里云开发者社区
weixin_39607837的博客
12-20 842
简介提到日志实时分析,很多人都会想到很火的ELK Stack(Elastic/Logstash/Kibana)来搭建。ELK方案开源,在社区中有大量的内容和使用案例。阿里云日志服务产品在新版中增强查询分析功能(LogSearch/Analytics)支持对日志数据实时索引与查询分析,并且对查询性能和计算数据量做了大量优化。在这里我们做一个全方位的比较,对于用户关心的点,我们依次展开分析:易用:上...
LOGSTASH+ELASTICSEARCH+KIBANA处理OSS访问日志
fishmai的专栏
10-23 2963
Logstash+ElasticSearch+Kibana处理nginx访问日志 logstash shipper -> redis" style="color:rgb(54,115,165); line-height:inherit">1. nginx日志 -> logstash shipper -> redis logstash indexer -> elasticsearch"
logstash集成日志以及在kibana中查询和使用
hu_2009sdu的专栏
01-18 5657
        在上一篇文章中(http://weitao0912-163-com.iteye.com/admin/blogs/2271414)介绍了怎么安装elk(elasticsearch+logstash+kibana),接下来需要介绍下怎么使用elk。         首先要弄清楚,elk的工作流程,如下图:          首先,logstash agent(相当于上图的Shi...
logstashLogstash-传输和处理您的日志,事件或其他数据
02-04
Logstash Logstash与Beats,Elasticsearch和Kibana一起是一部分。 Logstash是服务器端数据处理管道,它同时多个源中提取数据,进行转换,然后将其发送到您喜欢的“存储”。 (我们自然是Elasticsearch。)。 Logstash有200多个插件,您也可以非常轻松地编写自己的插件。 有关更多信息,请参见 文档和入门 您可以在上找到Logstash的文档和入门指南。 有关构建文档的信息,请参阅的自述文件 资料下载 您可以从下载正式发布的Logstash二进制文件以及受支持平台的debian / rpm软件包。 快照构建 为了大胆,可以使用快照构
ELK学习笔记之Logstash详解
dengxiangbao3167的博客
11-01 887
0x00 Logstash概述 官方介绍:Logstash is an open source data collection engine with real-time pipelining capabilities。简单来说logstash就是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道还可以让你根据自己的需求在中间加上滤网...
logstash 同时支持多个管道_如何创建易于维护和再利用的 Logstash 管道
weixin_35042546的博客
01-14 377
Logstash 是一个开源的数据处理管道,可以从一个或多个输入采集事件,对事件进行转换,并将每个事件发送到一个或多个输出。某些 Logstash 实施过程可能包括多行代码,并且可能处理来自多个输入源的事件。为了让此类实施过程更加易于维护,我在这里将会演示如何基于模块化组件创建管道来提高代码的再利用率。 设计初衷Logstash 经常需要对来自多个输入源的的事件应用相同的逻辑子集合。这通常会通过下...
LogStash的CodeC插件实现多行合并
ccy19910925的博客
03-23 1481
Multiline codec plugineditPlugin version: v3.0.9Released on: 2018-01-17ChangelogGetting HelpeditFor questions about the plugin, open a topic in the Discuss forums. For bugs or feature requests, open a...
配置Logstash(3) — 玩转多行事件
chuiku1691的博客
12-18 194
玩转多行事件 1.介绍说明 缺省情况下,Logstash认为一行文本就是一个事件对象的范围,这也符合大多数实际情形。但是,同样有很多情形是一个事件是由多行文本构成的,比如Java应用的日志中会出现异常堆栈信息。如此以来,Logstash就需要能够分辨一个文本行是否为一个多行事件的组成部分。注意...
logstash安装及切分日志配置及多行切分问题
Mr.ZY的专栏
08-02 1417
logstashELK中收集信息的部分,发送到elasticsearch,最近在配置这一块,记录一下 我用的是logstash-7.6.2 下载logstash-7.6.2.tar.gz包后解压 tar -zxvf logstash-7.6.2.tar.gz 进入到logstash-7.6.2/config下新增一个config文件,我这里增加一个toes.config input { file { #日志路劲 path => ["日志文件地址/*.log4j"]
logstash插件配置-codec插件说明json和multiline
weixin_30443075的博客
07-22 974
编码插件(Codec) Codec 是 logstash 从 1.3.0 版开始新引入的概念(Codec来自Coder/decoder 两个单词的首字母缩写)。 在此之前,logstash支持纯文本形式输入,然后以过滤器处理它。但现在,我们可以在输入期处理不同类型的数据,这全是因为有了 codec 设置。 所以,这里需要纠正之前的一个概念。Logstash 不只是一个in...
mysql查询重复数据
Sunshine_hj的博客
09-09 793
查询重复字段 SELECT * FROM 表 a WHERE (( SELECT COUNT(*) FROM 表 WHERE 字段= a.字段) > 1 ) ORDER BY 字段DESC 删除重复字段 DELETE FROM 表 WHERE 字段IN ( SELECT 字段 FROM ( SELECT 字段FROM 表GROUP BY 字段HAVING Count(*)> 1 ) a ) ...
ELK详解(十二)——多行日志收集
永远是少年
04-07 1542
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash多行日志收集。 一、Logstash日志收集新问题 二、Logstash配置详解 三、效果展示
提到的工具链是什么?
最新发布
03-10
<think>好的,用户之前问过SRE对SAP运维的启示和具体做法,现在又接着问提到的工具链是什么。我需要先回顾之前的回答,看看当时提到了哪些工具链。 在之前的回答里,第二部分的关键实践中的“自动化优先”部分提到了部署工具链,比如Prometheus+Grafana,还有集成到SAP Solution Manager的自愈脚本,以及CI/CD流水线。用户现在想知道这些工具链具体指什么,需要详细说明每个工具的作用和如何应用于SAP运维。 首先,用户可能是IT运维人员或者负责SAP系统的管理者,他们可能对SRE有一定了解,但需要具体工具的例子来实施。需要解释清楚每个工具的功能,以及它们在SAP环境中的具体应用场景,比如监控、自动化、CI/CD等。 接下来,用户可能想知道这些工具如何整合在一起,形成一个完整的工具链,以及为什么选择这些工具。可能需要分点详细说明每个工具链的组成部分,比如监控、自动化、CI/CD、日志管理、混沌工程等,并举例说明每个类别中的具体工具。 同时,用户可能希望了解这些工具链如何帮助提升SAP系统的可靠性和效率,比如减少人工干预、快速定位问题、自动化修复等。需要结合SAP运维的实际案例,说明工具链的实际效果。 另外,需要注意回答的结构要清晰,按照不同的工具类别来分点,每个类别下说明工具名称、功能、在SAP中的应用场景和示例。这样用户能够一目了然地理解工具链的组成和作用。 可能还需要补充一些用户未明确问到但相关的内容,比如SAP自身的工具(如Solution Manager)与第三方工具(如Prometheus)的整合,或者开源工具在企业中的适用性,帮助用户全面了解工具链的选择和部署。 最后,要确保语言简洁明了,避免使用过于专业的术语,或者在必要时进行解释,确保不同技术背景的读者都能理解。同时,要强调工具链的整合和协同工作,以及如何通过工具链实现SRE的核心原则,比如自动化、监控驱动等。</think>### SRE工具链在SAP运维中的组成与应用 SRE工具链是通过**标准化技术栈实现自动化、监控和持续改进**的集成化工具集合。针对SAP系统运维,其工具链需覆盖**监控告警、自动化操作、日志分析、混沌工程**等核心场景,以下是具体组成及典型工具示例: --- #### 一、**监控与可视化工具** 1. **基础设施监控** - **Prometheus + Grafana** - **功能**:采集服务器、网络、存储等底层指标(如CPU利用率$ \geq 90\%$告警)。 - **SAP适配**:通过Exporter抓取SAP HANA数据库指标(如`hana_system_status`),实时监控表空间使用率。 - **示例**:设置Grafana看板跟踪SAP应用服务器(AS)的`disp+work进程`内存消耗。 2. **SAP原生监控工具** - **SAP Solution Manager (SolMan)** - **功能**:集成CCMS(Computing Center Management System)监控ABAP/J2EE栈,支持事务码ST03N性能分析。 - **关键场景**:配置Technical Monitoring(如检测RFC连接超时事件`RFC_ERROR_COMMUNICATION`)。 - **SAP Focused Run**(大型企业专用) - **功能**:集中监控多套SAP系统,支持批量作业异常检测(如SM37作业状态码≠绿色)。 --- #### 二、**自动化与编排工具** 1. **运维自动化** - **Ansible** - **功能**:通过Playbook批量执行SAP Basis操作(如系统参数调整`rdisp/wp_no_dia`)。 - **示例**:自动化清理旧传输请求(STMS中`TR*`状态为“已完成”的条目)。 - **SAP LaMa(Landscape Management)** - **功能**:编排系统克隆、客户端复制(SCCL)等操作,降低人工操作风险。 2. **自愈脚本** - **Python + SAP GUI Scripting** - **功能**:编写脚本处理常见故障(如自动解锁用户`SM12`、清理锁条目`SMENQ`)。 - **示例**:当监控到`ENQUEUE_ERROR`时,触发脚本调用RFC函数`TH_DELETE_USER_LOCK`。 --- #### 三、**CI/CD与版本控制工具** 1. **代码发布流水线** - **Jenkins + GitLab** - **功能**:构建ABAP代码传输流程(DEV→QAS→PRD),集成CTS+(Change and Transport System)。 - **实践**:通过GitLab MR(Merge Request)触发自动传输请求审批(SE09状态变更)。 - **SAP Transport Management Service (TMS)** - **功能**:标准化传输路由,防止未经测试的请求进入生产系统。 2. **配置即代码(IaC)** - **Terraform** - **功能**:定义SAP基础设施资源(如AWS EC2实例部署HANA节点)。 - **SAP BTP(Business Technology Platform)** - **功能**:通过命令行工具(btp CLI)自动化管理云资源(如创建Fiori应用订阅)。 --- #### 四、**日志与根因分析工具** 1. **集中式日志管理** - **ELK Stack(Elasticsearch + Logstash + Kibana)** - **功能**:聚合SAP系统日志(如系统日志`SM21`、ABAP Dump`ST22`)。 - **示例**:建立Kibana仪表板分析`SHORTDUMP`类型分布(如`DBSQL_DUPLICATE_KEY_ERROR`)。 - **SAP Application Interface Framework (AIF)** - **功能**:跟踪接口错误日志(如IDOC状态`51`异常),关联业务上下文。 2. **AIOps智能分析** - **Moogsoft/Splunk ITSI** - **功能**:对告警进行聚类降噪,识别潜在关联(如并发用户激增导致`SM50`进程阻塞)。 --- #### 五、**混沌工程与压测工具** 1. **故障注入工具** - **Chaos Monkey for SAP**(定制化方案) - **功能**:模拟SAP集群节点故障(如关闭Enqueue Server进程`enserver`)。 - **SAP Load Runner** - **功能**:压力测试关键事务(如模拟1000并发用户执行`F.02`财务报表生成)。 2. **性能基准测试** - **SAP Quick Sizer** - **功能**:估算系统资源需求(如HANA内存分配公式$ \text{内存} = 1.5 \times \text{数据量}$)。 - **JMeter + SAP Java Connector (JCo)** - **功能**:测试BAPI/RFC调用性能(如`BAPI_GOODSMVT_CREATE`物料过账延迟)。 --- #### 六、**协作与知识管理工具** 1. **事件响应平台** - **ServiceNow + Jira** - **功能**:联动SAP SolMan生成事件工单,跟踪SLO消耗情况。 - **PagerDuty** - **功能**:根据告警级别(如SAP BASIS P1级故障)自动呼叫值班人员。 2. **文档即代码** - **Confluence + Git** - **功能**:版本化存储运维手册(如SAP升级检查清单`SUM_DMO`步骤)。 --- #### 工具链整合示例 某企业SAP S/4HANA运维工具链架构: $$ \begin{aligned} &\text{数据源层:SAP HANA CCMS/ST03N + 操作系统日志} \\ &\text{采集层:Prometheus Exporters + Logstash Agent} \\ &\text{分析层:Grafana(指标) + Kibana(日志)} \\ &\text{执行层:Ansible Playbook + SAP LaMa} \\ &\text{协作层:ServiceNow工单 + Confluence知识库} \end{aligned} $$ --- #### 实施建议 1. **优先集成SAP原生工具**(如SolMan),再扩展第三方工具。 2. **统一API标准**:通过SAP NetWeaver Gateway暴露事务码功能,供外部工具调用。 3. **安全合规**:确保工具链符合GDPR(如日志脱敏)和SAP安全基线(如SAP Note 2253214)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值