ELK相关经常使用配置解析笔记
ELK相关经常使用配置解析
1、filebeat配置采集多个目录的日志
采集多个目录日志,本身的配置:php
- type: log
enabled: true
# Paths that should be crawled and fetched. Glob based paths.
paths:
- /opt/nginx-1.14.0/logs/stars/star.access.log #指明读取的日志文件的位置
tags: ["nginx-access"] #使用tag来区分不一样的日志
- type: log
enabled: true
# Paths that should be crawled and fetched. Glob based paths.
paths:
- /srv/www/runtime/logs/app.log
tags: ["app"] #使用tag来区分不一样的日志
2、filebeat解析多行日志合并成一行
收集日志的时候,若是是像本身的项目日志,每每是多行trace日志,这个时候,就须要配置多行匹配,filebeat提供了multiline ooptions用来解析多行日志合并成一行。html
multiline options 主要是三个主要参数:nginx
multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
multiline.negate: true
multiline.match: after
//上面配置的意思是:不以时间格式开头的行都合并到上一行的末尾(正则写的很差,忽略忽略)
因此,最终,想要配置收集不一样目录的日志,而且多行日志匹配,具体配置为:正则表达式
- type: log
enabled: true
# Paths that should be crawled and fetched. Glob based paths.
paths:
- /opt/nginx-1.14.0/logs/stars/star.access.log
tags: ["nginx-access"]
- type: log
enabled: true
# Paths that should be crawled and fetched. Glob based paths.
paths:
- /srv/www/runtime/logs/app.log
tags: ["app"]
multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
multiline.negate: true
multiline.match: after
关键在于使用filelds中的type进行不一样日志的区分session
filebeat服务重启:systemctl restart filebeatapp
参考连接:elasticsearch
https://www.cnblogs.com/zhjh2...oop
https://blog.csdn.net/m0_3788...fetch
3、logstash配置grok的match,output等
logstash配置文件,对不一样的日志进行不一样的filter匹配ui
#Logstash经过type字段进行判断
input {
beats {
host => '0.0.0.0'
port => 5401
}
}
filter {
if "nginx-access" in [tags]{ #对nginx-access进行匹配
grok { #grok插件对日志进行匹配,主要是正则表达式
match => { "message" => "%{IPORHOST:remote_ip} - %{IPORHOST:host} - \[%{HTTPDATE:access_time}\] \"%{WORD:http_method} %{DATA:url} HTTP/%{NUMBER:http_version}\" - %{DATA:request_body} - %{INT:http_status} %{INT:body_bytes_sent} \"%{DATA:refer}\" \"%{DATA:user_agnet}\" \"%{DATA:x_forwarded_for}\" \"%{DATA:upstream_addr}\" \"response_location:%{DATA:response_location}\"" }
}
}
else if "app" in [tags]{
grok {
match => {
"message" => "%{DATESTAMP:log_time} \[%{IP:remote_ip}\]\[%{INT:uid}\]\[%{DATA:session_id}\]\[%{WORD:log_level}\]\[%{DATA:category}\] %{GREEDYDATA:message_text}"
}
}
}
output{
if "nginx-access" in [tags]{
elasticsearch {
hosts => ["http://xxx.xxx.xxx.xx:9200"]
index => "star_nginx_access_index_pattern-%{+YYYY.MM.dd}"
user => "elastic"
password => "!@#j3C"
}
}
else if "app" in [tags]{
elasticsearch {
hosts => ["http://xxx.xxx.xxx.xx:9200"]
index => "star_app_index_pattern-%{+YYYY.MM.dd}"
user => "elastic"
password => "!@#j3C"
}
}
}
主要是对grok的正则表达式进行匹配,为了将日志一条一条的匹配出来而后在Kibana中展现
重启logstash:systemctl restart logstash
4、grok校验配置的正确与否
使用grok在线调试校验:http://grokdebug.herokuapp.com/
5、kibana设置具体的index pattern
6、注意事项
- 修改配置以前备份原来的配置
- 修改配置以后记得重启服务
- filebeat收集日志时候,若是是多行日志,能够合并一行
相关文章
- 1. SpringBoot应用配置经常使用相关视图解析器
- 2. ELK-logstash-6.3.2-经常使用配置
- 3. handsontable 经常使用 配置项 笔记
- 4. tsconfig经常使用配置解析
- 5. pm2 经常使用配置项解析
- 6. Redis经常使用配置解析
- 7. nginx.conf经常使用配置解析
- 8. hibernate 相关配置解析
- 9. Maven学习笔记(二)——经常使用插件配置详解
- 10. SpringMVC-常用注解(配置相关)
- 更多相关文章...
- • Spring Bean的配置及常用属性 - Spring教程
- • MyBatis配置文件详解 - MyBatis教程
- • NewSQL-TiDB相关
- • Tomcat学习笔记(史上最全tomcat学习笔记)
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
