logstash收集java日志,多行合并成一行
使用codec的multiline插件实现多行匹配,这是一个能够将多行进行合并的插件,并且可使用what指定将匹配到的行与前面的行合并仍是和后面的行合并。
1.java日志收集测试java
input {
stdin {
codec => multiline {
pattern => "^\[" //以"["开头进行正则匹配
negate => true //正则匹配成功
what => "previous" //和前面的内容进行合并
}
}
}
output {
stdout {
codec => rubydebug
}
}
2.查看elasticsearch日志,已"["开头node
# cat /var/log/elasticsearch/cluster.log [2018-05-29T08:00:03,068][INFO ][o.e.c.m.MetaDataCreateIndexService] [node-1] [systemlog-2018.05.29] creating index, cause [auto(bulk api)], templates [], shards [5]/[1], mappings [] [2018-05-29T08:00:03,192][INFO ][o.e.c.m.MetaDataMappingService] [node-1] [systemlog-2018.05.29/DCO-zNOHQL2sgE4lS_Se7g] create_mapping [system] [2018-05-29T11:29:31,145][INFO ][o.e.c.m.MetaDataCreateIndexService] [node-1] [securelog-2018.05.29] creating index, cause [auto(bulk api)], templates [], shards [5]/[1], mappings [] [2018-05-29T11:29:31,225][INFO ][o.e.c.m.MetaDataMappingService] [node-1] [securelog-2018.05.29/ABd4qrCATYq3YLYUqXe3uA] create_mapping [secure]
3.配置logstashvim
#vim /etc/logstash/conf.d/java.conf
input {
file {
path => "/var/log/elasticsearch/cluster.log"
type => "elk-java-log"
start_position => "beginning"
stat_interval => "2"
codec => multiline {
pattern => "^\["
negate => true
what => "previous"
}
}
}
output {
if [type] == "elk-java-log" {
elasticsearch {
hosts => ["192.168.1.31:9200"]
index => "elk-java-log-%{+YYYY.MM.dd}"
}
}
}
4.启动api
logstash -f /etc/logstash/conf.d/java.conf -t systemctl restart logstash
5.head插件查看
6.kibana添加日志
ruby
相关文章
- 1. Logstash收集日志
- 2. SpringBoot 集成logstash收集日志
- 3. logStash收集日志并存储到Elasticsearch
- 4. 8.logstash收集syslog日志
- 5. logstash收集tomcat日志
- 6. logstash收集tomcat-json日志
- 7. logstash+elasticsearch+kibana日志收集
- 8. logstash收集nginx日志、filebeat
- 9. 配置logstash收集java日志
- 10. spring boot 集成logstash 日志
- 更多相关文章...
- • Scala Set(集合) - Scala教程
- • C# 集合(Collection) - C#教程
- • ☆技术问答集锦(13)Java Instrument原理
- • Java Agent入门实战(一)-Instrumentation介绍与使用
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
