科帮网-Java论坛、Java社区、JavaWeb毕业设计

设为首页收藏本站JAVA爱好者①群:26490602 JAVA爱好者②群:361526039广告业务手机客户端友情赞助
开启辅助访问
首 页
登录/注册
您现在的位置:论坛 资料库 开源社区 > Logstash 读取tomcat错误日志
总共48085条微博

动态微博

发表新帖
查看: 12800|回复: 2

Logstash 读取tomcat错误日志

[复制链接]
admin    

1244

主题

544

听众

1万

金钱

管理员

  • TA的每日心情

    2021-2-2 11:21

    • 签到天数: 36 天

    [LV.5]常住居民I

    管理员

    跳转到指定楼层
    楼主
    发表于 2016-01-28 16:01:05 |只看该作者 |倒序浏览
    最近搭建了elk日志分析系统、想读取一下tomcat的错误日志、但是一个异常由于换行总是分多次存储展示、导致不是很清晰的看一个错误日志信息、摸索了半天、搜索、测试终于搞定。

    tomcat.conf 配置文件如下

    input {
        file {
            type => "tomcat_error"
                    tags => [ "tomcat_error", "log4j" ]
                    path => "/home/tomcat7/log/*.txt" # tomcat错误日志存放路径 自行定义
        }
    }
    filter {
        if [type] == "tomcat_error" {
                multiline {
                          pattern => "^[^\[]"
                          what => "previous"
                      }
                    mutate {
               split => ["message", "|"]
            }
            grok {
                match => {
                               "message" => "(?m)%{TIMESTAMP_ISO8601:logtime}"
                }
            }
        }
    }
    output {
        stdout {
                codec => rubydebug
            }
        redis {
            host => "115.28.240.103"
            port => 6379
            data_type => "list"
            key => "logstash-tomcat"
            password => "123456"
            db => 0

        }   
    }
    ==========================代码说明================================
    logstash一般会只记录一行,所以这类的日志就看不全了。怎么办呢?logstash提供了一个功能解决了这个问题就是”multiline”
    这个filter的功能顾名思义就是对多行的日志进行处理 这个是官网上的说明
    multiline filter
    This filter will collapse multiline messages into a single event.
    The multiline filter is for combining multiple events from a single source into the same event.

    下面看下格式

    2. filter {
    3.   multiline {
    4.     type => "type"   #类型,不多说
    5.     pattern => "pattern, a regexp" #参数,也可以认为是字符,有点像grep ,如果符合什么字符就交给下面的 what 去处理
    6.     negate => boolean
    7.     what => "previous" or "next" #这个是符合上面 pattern 的要求后具体怎么处理,处理方法有两种,合并到上面一条日志或者下面的日志
    8.   }
    9. }
    复制代码
    The ‘negate’ can be “true” or “false” (defaults false). If true, a message not matching the pattern will constitute a match of the multiline filter and the what will be applied. (vice-versa is also true)
    这个 negate 有两种 true 或者 false,默认是 true,如果选了false 的话估计就是取反的意思。
    看看例子
    1. filter {
    2.           multiline {
    3.                pattern => "^[^\[]"
    4.                what => "previous"
    5.          }
    6.      }
    复制代码

    这个例子是针对我上面的java日志写的,意思就是 如果不是以 “[“开头的日志 都跟上一个日志合并在一起。以此类推遇到其他的多行日志也可以按照这个方法来做合并。





    科帮网-Java论坛、Java社区、JavaWeb毕业设计 1、本主题所有言论和图片纯属会员个人意见,与本社区立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与科帮网-Java论坛、Java社区、JavaWeb毕业设计享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和科帮网-Java论坛、Java社区、JavaWeb毕业设计的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、科帮网-Java论坛、Java社区、JavaWeb毕业设计管理员和版主有权不事先通知发贴者而删除本文


    JAVA爱好者①群:JAVA爱好者① JAVA爱好者②群:JAVA爱好者② JAVA爱好者③ : JAVA爱好者③

    收藏(0) 评分(0) 回帖(2)
    回复

    使用道具 举报

    屁孩儿    

    95

    主题

    3

    听众

    2157

    金钱

    版主

  • TA的每日心情
    开心
    2019-10-29 10:01

    • 签到天数: 13 天

    [LV.3]偶尔看看II

    优秀版主

    沙发
    发表于 2017-07-12 21:48:08 |只看该作者
    哈哈哈 棒棒哒~~~~~~~~
    回复

    使用道具 举报

    劉様    

    18

    主题

    0

    听众

    2680

    金钱

    七袋长老

    该用户从未签到
    板凳
    发表于 2017-08-01 07:28:41 |只看该作者
    楼主威武
    回复

    使用道具 举报

    发表新帖
    快速回复
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 立即注册

       

    发布主题 快速回复 返回列表 联系我们 官方QQ群 科帮网手机客户端

    QQ|Archiver|手机版|小黑屋|科帮网-Java论坛、Java社区、JavaWeb毕业设计 ( 鲁ICP备19004528号-2  

    GMT+8, 2024-4-26 17:20 , Processed in 1.109632 second(s), 50 queries .

    Powered by Discuz! X3.3

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表