ELK日志合并

已于 2023-09-18 11:04:18 修改
阅读量189 收藏
点赞数
分类专栏: devops 文章标签: elk
于 2023-09-15 19:56:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wgdzg/article/details/132910190
版权

一. 需求:

        程序中有这样一类日志,在客户端发起API请求前,主动记录了开始日志,请求响应返回给前端后,前端又记录了一条结束日志。 程序中另有一个日志画面,期望在显示这类日志时,把相对应的开始和结束日志合并成一条显示,以方便调查。

二. 问题:

       1 成对的开始和结束日志中都记录了同一个bizKey,可以基于该key合并;

       2 日志通过log4j记入文件,由filebeat收集,通过 logstash处理,存储到 es,es中的日志不保证顺序,

       3 日志画面读取es中的日志。

三. 做法:

     1. 程序处理:

         把符合条件的日志读出来,在程序中依据bizKey进行合并;

     2. logstash处理合并:

        配置类似以下:

input { ...... } 
filter { 

  # 没有bizKey的给加一个uuid的key
  if ![bizKey] { 
    uuid { target => "bizKey" overwrite => true } 
  }
} 
output { 
  elasticsearch {
     ...... 
     document_id => "%{bizKey}" 
     doc_as_upsert => true 
     action => "update" 
     script => " 
        // 此处写Painless脚本
        ctx._source.EndContent = params.event.get('EndContent');
  }
}

注意:

1 output里指定的文档Id指定为bizKey;

2 doc_as_upsert=true:  当key一致时,是否执行update, 默认false,key重复就丢掉了

   script是合并时要执行的脚本,不指定时,由ES根据内置的规则合并,基本上是后一条覆盖前一天同名字段,追加新字段; 指定了action="update"和script时,将使用脚本中的逻辑进行合并。

这里配置的upsert相关的几个参数,logstash 最终会生成 elasticsearch 的 API 调用,不同的组合产生的API调用行为不一样,部分和在ES文档里看到的不太对应,最终抓包抓了logstash实际发给es的请求,才搞明白不同组合干了啥,回头再整理出来。

另:logstash到es的api调用, aliyun的这个文档可以参考

更新插入(Upsert)_开发指南_Elasticsearch_企业版

ELK日志分析系统之使用multiline合并多行显示
邓邓子的博客
03-14 4665
目录一、前言二、multiline 的使用1.使用 logstash-codec-multiline 插件2.使用 logstash-filter-multiline 插件3.使用 Filebeat 一、前言 本博在 ELK日志分析系统之集成Filebeat 一文中,介绍了使用 Elasticsearch、Logstash、Kibana、Filebeat 来搭建 ELK 。但是搭建后发现输出的日志都是单行的,一条日志占多行的情况也是分开多行显示,显得非常凌乱。为此,我们引入 multiline 来实现合并
ELK日志平台建设——设计篇——分布式日志处理系统设计
AI天才研究院
08-08 1804
ELK(Elasticsearch Logstash Kibana)是目前最流行的开源日志分析工具。本系列文章主要介绍日志平台建设的一些关键技术细节和方案。首先要了解这些技术分别是什么,它们解决了什么问题,如何使用。然后逐步深入到各个技术组件内部,详细地剖析其工作原理及其优缺点。最后通过实例和场景进行对比,为读者提供完整的指导和实践建议。
ELK-日志多行合并和字段解析以及时间处理
CodyGuo的博客
11-08 1851
文章目录readme1.1 19/10/30 23:59:591.2 2019/10/30 16:08:171.3 2019/10/30 02:00:00.0031.4 2019-10-30 10:59:441.5 2019-10-30 15:43:56.6521.6 2019-10-30 10:59:59 133.9981.7 2019-11-08T16:56:55.520+08001.8 [2...
k8s elk之logstash日志数据筛选、合并、字段匹配、索引区分
04-23 1246
【代码】k8s elk之logtash日志数据筛选、合并、字段匹配、索引区分。
ELK搭建 日志可视化(全过程)
编程半生的博客
09-11 674
尝试:第一次接触ELK,或者不熟悉linux的小白,可以先在Windows上面搭建elk,因为配置比较简单,效果可以很快程序。ELK解释:Elasticsearch , Logstash, Kibana , 它们都是开源软件,具体功能网上有详解,我只做简单描述,主要上干货。Kibana : 读取es中的索引,展示索引详情,展示以索引为基础组合而成的图表、仪表盘。4,查看es,如果运行成功,浏览器输入ip:9200,显示如下则说明成功。Elasticsearch:简称es,可存储数据,存储索引。
Logstash与FileBeat详解以及ELK整合详解
持续学习,坚持原创,分享技术笔记及经验。
11-07 1290
Logstash与FileBeat详解以及ELK整合详解
ELK 实现日志检索
sumguo10qq的博客
02-24 3256
elk
logstash 和 filebeat多行日志 合并
cagezxy的博客
11-17 2258
filebeat logstash 配置多行日志 合并
ELK 企业级日志分析系统
最新发布
2201_75549363的博客
09-18 2396
ELK平台是一套完整的日志集中处理解决方案,将 ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。ELK是的缩写,这三个工具组合在一起,用于数据收集、存储、搜索和可视化分析。:核心搜索和分析引擎,负责存储数据并提供快速的全文搜索和分析功能。Logstash:数据收集和处理管道,能够从各种来源(如日志文件、数据库)收集数据,并进行过滤和转换,然后将其发送到Elasticsearch。Kibana。
ELK分布式日志收集-企业级日志中心
leafseelight的专栏
08-05 1376
传统项目中,如果需要在生产环境定位异常的话,我们常常需要在服务器上使用命令的方式查询。而很多情况我们需要用到微服务架构或集群架构,日志被分散在不同的机器上,使得日志的查询变得异常困难。工欲善其事,必先利其器。如果此时有一个统一的实时日志分析平台,那可谓是绝渡逢舟,必定能够提高我们排查线上问题的效率。本文我们就来一起学习下开源的实时日志分析平台 ELK 的搭建及使用。 〓ELK 简介 ELK 是一个开源的实时日志分析平台,它主要由 Elasticsearch、Logstash 和 Kibana 三部.
监控系统---(二)ELK日志分析平台
sss
11-30 2517
日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。 通常,日志被分散在储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的syslog,将所有服务器上的日志收集汇总。 集中化管理日志后,日志的统计和检索又成为一件比较麻烦的事情,一般.
[运维]ELK实现日志监控告警
热门推荐
个人技术博客
02-09 5万+
ELK(Elasticsearch+LogStash+Kibana),最近使用ELK处理了一些平台日志,下面以「mysql连接数监控」记录部署流程
ELK整合SpringBoot日志收集
吴振照
05-18 3235
ELK简介:   ELK是Elasticsearch+Logstash+Kibana简称 Elasticsearch:是一个分布式的搜索和分析引擎,可以用于全文检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch 基于 Lucene 开发,现在是使用最广的开源搜索引擎之一。 Logstash: 简单来说就是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端...
elk日志分析filebeat配置(filebeat + logstash)
wzz_ccr的博客
01-23 1万+
日志格式: nginx_access: { "@timestamp":"2017-01-23T15:16:48+08:00","client": "192.168.0.151","@version":"1","host":"192.168.0.147","size":160,"responsetime":0.000,"domain":"mv.bjfxr.com","url":"/index.h
linux 上安装elk第二节 并解决错误日志多行合并问题
感冒石头的博客
12-26 567
上篇文章给大家介绍了elk第一种部署方式,这次介绍第二种部署方式,主要是解决java服务端错误日志换行问题 es中错误日志显示如下: 可以看出一个错误日志,在es里有多行 kibana数据展示如下: 可以看出一个错误日志,在kibana里有多行记录,这样就不方面查找 综上所述,使用第二种elk方案: ...
ELK下logstash收集java日志,多行合并成一行
qq_40907977的博客
04-22 2666
介绍 使用codec的multiline插件实现多行匹配,这是一个可以将多行进行合并的插件,而且可以使用what指定将匹配到的行与前面的行合并还是和后面的行合并。 1.java日志收集测试 input { stdin { codec => multiline { pattern => "^\[" //以"["开头进行正则匹配 negate => tru...
ELK详解(十二)——多行日志收集
永远是少年
04-07 1518
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash的多行日志收集。 一、Logstash日志收集新问题 二、Logstash配置详解 三、效果展示
logStash对于多行日志合并(四)
千里之行始于足下
01-18 3731
日志总是免不了出异常 ,或者开发人员打出的日志 是json格式 多行的就需要对 日志多行进行合并 ,这个很常用 ,之后我会再开一个flume合并多行的情况 诸如此类的日志:[ERROR] [] 2017-10-23 09:34:37,855 操作超时,请重新登录 com.*****.*******.exception.MobileException: 操作超时,请重新登录 at com.*
Logstash合并多行日志为一行(Tomcat日志合并和grok处理)
qq_40673345的博客
04-01 2690
tomcat的catalina.out日志如下: [root@localhost logs]# cat to_catalina.log -----------------alarm start------------------------ --------------mail start--------------- -----------------alarm start---------...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值