logstash處理java堆棧日志的方法

本篇內容主要講解“logstash處理java堆棧日志的方法”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學習“logstash處理java堆棧日志的方法”吧!

一、背景

在我們的java程序中，經常會輸出一些日志，來幫助我們來分析一些問題。但是對于我們的異常來說，它可能存在多行,因此我們就需要處理這種多行的事件。在 logstash 中，我們可以借助 multiline codec 來處理。

二、需求

假設我們有如下數據。

129904 [2021-05-11 13:31:19] [ip=] INFO  o.s.c.a.AnnotationConfigApplicationContext [doClose(984)] - Closing org.springframework.context.annotation.AnnotationConfigApplicationContext@3e5d4f6b: startup date [Tue May 11 13:29:11 CST 2021]; parent: org.springframework.boot.context.embedded.AnnotationConfigEmbeddedWebApplicationContext@299321e2
129905 [2021-05-11 13:31:19] [ip=] WARN  o.s.c.a.AnnotationConfigApplicationContext [doClose(994)] - Exception thrown from ApplicationListener handling ContextClosedEvent
org.springframework.beans.factory.BeanCreationNotAllowedException: Error creating bean with name 'eurekaAutoServiceRegistration': Singleton bean creation not allowed while singletons of this factory are in destruction (Do not request a bean from a BeanFactory in a destroy method implementation!)
	at org.springframework.beans.factory.support.DefaultSingletonBeanRegistry.getSingleton(DefaultSingletonBeanRegistry.java:216)
	at org.springframework.beans.factory.support.AbstractBeanFactory.doGetBean(AbstractBeanFactory.java:308)
	at org.springframework.beans.factory.support.AbstractBeanFactory.getBean(AbstractBeanFactory.java:197)
	at org.springframework.context.support.AbstractApplicationContext.getBean(AbstractApplicationContext.java:1080)

需要將如上的數據做一個多行展示。

129904 的作為一行展示。

129905 的異常堆棧數據作為一行展示。

三、實現思路

1、分析日志

129904 [2021-05-11 13:31:19] [ip=] INFO  o.s.c.a.AnnotationConfigApplicationContext [doClose(984)] - Clos
129905 [2021-05-11 13:31:19] [ip=] WARN  o.s.c.a.AnnotationConfigApplicationContext [doClose(994)] - Exception thrown from ApplicationListener handling ContextClosedEvent

從上方簡化的日志可知，我們的日志每行都是以一個數字開頭，那么可以認為以數字開頭的行是一個單獨的行，以非數字開頭的行是隸屬于上一行的，即是一個多行的。

2、實現，編寫pipeline文件

vim java-exception.conf

input {
    file {
        path => ["/Users/huan/soft/elastic-stack/logstash/logstash/pipeline.conf/java-exception/application*.log"]
        start_position => "end"
        sincedb_path => "/Users/huan/soft/elastic-stack/logstash/logstash/pipeline.conf/java-exception/sincedb.db"
        sincedb_write_interval => "15 seconds"
        mode => "tail"
        type => "application"

        codec => multiline {
            pattern => "^\d+"
            negate => "true"
            what => "previous"
            charset => "UTF-8"
            auto_flush_interval => 3
        }
    }
}

filter {
    
}

output {
    stdout {
        codec => rubydebug {
        
        }
    }
}

我們主要關注的是 multiline中的配置

• pattern: 這個是用來匹配文本的表達式，也可以是grok表達式

• what: 如果pattern匹配成功的話，那么匹配行是歸宿于上一個事件，還是歸屬于下一個事件。

• previous: 歸屬于上一個事件

• next: 歸屬于下一個事件

• negate:是否對 pattern 的結果取反

• false: 不取反，是默認值。

• true: 取反。將多行事件掃描過程中的行匹配邏輯取反（如果pattern匹配失敗，則認為當前行是多行事件的組成部分）

• auto_flush_interval: 當匹配到一個多行格式時，在 auto_flush_interval秒之內，如果沒有新的行匹配的話，則會轉換成 logstash 的一個事件進行發布。默認沒有設置。單位是：秒(s)

四、注意事項

1、默認情況下，logstash 每讀取到一行就會發送一個事件。

2、如果要發送多行事件，就需要使用 multiline 來實現。

3、如果我們的 logstash 在一個 pipeline 中存在多個輸入，那么多行的處理，應該在發送數據的源頭解決。即，在logstash自身不處理多行。因為可能會導致數據錯亂。

五、參考文檔

1、https://www.elastic.co/guide/en/logstash/current/plugins-codecs-multiline.html

2、https://www.elastic.co/guide/en/logstash/current/multiline.html

到此，相信大家對“logstash處理java堆棧日志的方法”有了更深的了解，不妨來實際操作一番吧！這里是億速云網站，更多相關內容可以進入相關頻道進行查詢，關注我們，繼續學習！