按分类归档:elk日志分析

logstash中多个日志监控及日志多行匹配 multiline 插件

问题1:一个服务中可能会有2个以上的日志 问题2:一个日志中,一条完整的日志会包含多行,默认logstash匹配是一行一条,这就需要把多行合并为一条,这样才是一条完整的日志。 日志格式: 日志开头都是以 [日志级别] 开始,如果不是,可以让开发改一下,否则就自己修改正则。 例: 这样,在elasticsearch中就会出现2个索引,即两个不同的日志,创建独立的索引。便于kibana中查看。

评论关闭

elk日志分析安装及简单配置

服务器信息: ip     :   192.168.1.50 系统:centos7.3 x64 elk官网:https://www.elastic.co/downloads elk版本:5.4.0 elk 3个组件全部安装到一台机器测试 环境配置: 1、修改主机名及hosts映射 2、安装jdk1.8 过程略… 3、iptables停掉,firewalld停掉(安装完成后手动开放相应端口)。 安装elasticsearch: 修改elasticsearch配置文件: # 创建目录 安装elasticsearch图形插件: 先安装nodejs 安装logstash: # yum 安装nginx测试,启动nginx,访问以下80端口,产生访问日志,去es里查看 安装kibana: 浏览器访问 PS: 项目环境的jdk可能不会与elk的jdk版本一直,就会存在两个版本jdk logstash可以修改java版本,通过在/usr/share/logstash/bin/logstash头部添加: #!/bin/sh JAVACMD=/usr/local/jdk1.8.0_131/bin/java 在/etc/logstash/startup.options 配置中发现可以修改jdk,但是始终没有生效。还是选择上面方法。 # After changing … 继续阅读

评论关闭