堆栈内存溢出
  繁体   English   中英

合并filebeat + logstash中的行

[英]Merge lines in filebeat + logstash

 原文  2016-02-15 17:12:33       elasticsearch/ logstash/ kibana/ filebeat

问题描述

我们已经成功地在生产环境中设置了ELK堆栈。 我们还可以在Kibana服务器上看到日志(日志是非结构化的)输出。

一切对我们来说都很好。 但是我们唯一关心的是,kibana中的消息是针对写入给定日志文件的每一行构造的。

题:

因此,是否有一种方法可以通过最大 行数来合并( 合并)日志消息( 在将文件发送到Logstash或Elastic Search之前在File Beat中 ),这将被视为ElasticSearch / Kibana / Logstash中的1个事件。

注意:仅需注意,日志消息是非结构化的(它们中没有特定的正则表达式模式 )。 所以不能使用这个 但是我确实尝试了最大行数方法,但是在kibana中的事件显示了单行的文档。

例。

如果我的日志(日志文件)具有这样的条目 

Sending ... 0 .. 2016-02-17 13:20:13 +0530 
Sending ... 1 .. 2016-02-17 13:20:13 +0530 
Sending ... 2 .. 2016-02-17 13:20:14 +0530 
Sending ... 3 .. 2016-02-17 13:20:14 +0530 
Sending ... 4 .. 2016-02-17 13:20:14 +0530 
Sending ... 5 .. 2016-02-17 13:20:15 +0530 
Sending ... 6 .. 2016-02-17 13:20:15 +0530 
Sending ... 7 .. 2016-02-17 13:20:16 +0530 
Sending ... 8 .. 2016-02-17 13:20:16 +0530 
Sending ... 9 .. 2016-02-17 13:20:16 +0530 
Sending ... 10 .. 2016-02-17 13:20:17 +0530 
Sending ... 11 .. 2016-02-17 13:20:17 +0530 
Sending ... 12 .. 2016-02-17 13:20:18 +0530 
Sending ... 13 .. 2016-02-17 13:20:18 +0530 
Sending ... 14 .. 2016-02-17 13:20:18 +0530 
Sending ... 15 .. 2016-02-17 13:20:19 +0530 
Sending ... 16 .. 2016-02-17 13:20:19 +0530 
Sending ... 17 .. 2016-02-17 13:20:20 +0530 
Sending ... 18 .. 2016-02-17 13:20:20 +0530 
Sending ... 19 .. 2016-02-17 13:20:20 +0530 
Sending ... 20 .. 2016-02-17 13:20:21 +0530 
Sending ... 21 .. 2016-02-17 13:20:21 +0530 
Sending ... 22 .. 2016-02-17 13:20:22 +0530 
Sending ... 23 .. 2016-02-17 13:20:22 +0530 
Sending ... 24 .. 2016-02-17 13:20:22 +0530 
Sending ... 25 .. 2016-02-17 13:20:23 +0530 
Sending ... 26 .. 2016-02-17 13:20:23 +0530 
Sending ... 27 .. 2016-02-17 13:20:24 +0530 
Sending ... 28 .. 2016-02-17 13:20:24 +0530 
Sending ... 29 .. 2016-02-17 13:20:24 +0530 
Sending ... 30 .. 2016-02-17 13:20:25 +0530 
Sending ... 31 .. 2016-02-17 13:20:25 +0530 
Sending ... 32 .. 2016-02-17 13:20:26 +0530 
Sending ... 33 .. 2016-02-17 13:20:26 +0530 
Sending ... 34 .. 2016-02-17 13:20:26 +0530 
Sending ... 35 .. 2016-02-17 13:20:27 +0530 
Sending ... 36 .. 2016-02-17 13:20:27 +0530 
Sending ... 37 .. 2016-02-17 13:20:28 +0530 
Sending ... 38 .. 2016-02-17 13:20:28 +0530 
Sending ... 39 .. 2016-02-17 13:20:29 +0530 
Sending ... 40 .. 2016-02-17 13:20:29 +0530 
Sending ... 41 .. 2016-02-17 13:20:30 +0530

我希望文件拍将它们分组(更好的词是将它们合并)

(示例:filebeat中的配置将合并它们。)

因此,最终发送到logstash / elastic的事件应如下所示

1个事件(消息为..) 

Sending ... 0 .. 2016-02-17 13:20:13 +0530 
Sending ... 1 .. 2016-02-17 13:20:13 +0530 
Sending ... 2 .. 2016-02-17 13:20:14 +0530 
Sending ... 3 .. 2016-02-17 13:20:14 +0530 
Sending ... 4 .. 2016-02-17 13:20:14 +0530 
Sending ... 5 .. 2016-02-17 13:20:15 +0530 
Sending ... 6 .. 2016-02-17 13:20:15 +0530 
Sending ... 7 .. 2016-02-17 13:20:16 +0530 
Sending ... 8 .. 2016-02-17 13:20:16 +0530 
Sending ... 9 .. 2016-02-17 13:20:16 +0530 
Sending ... 10 .. 2016-02-17 13:20:17 +0530 
Sending ... 11 .. 2016-02-17 13:20:17 +0530 
Sending ... 12 .. 2016-02-17 13:20:18 +0530 
Sending ... 13 .. 2016-02-17 13:20:18 +0530 
Sending ... 14 .. 2016-02-17 13:20:18 +0530 
Sending ... 15 .. 2016-02-17 13:20:19 +0530

2个事件(消息为..) 

Sending ... 16 .. 2016-02-17 13:20:19 +0530 
Sending ... 17 .. 2016-02-17 13:20:20 +0530 
Sending ... 18 .. 2016-02-17 13:20:20 +0530 
Sending ... 19 .. 2016-02-17 13:20:20 +0530 
Sending ... 20 .. 2016-02-17 13:20:21 +0530 
Sending ... 21 .. 2016-02-17 13:20:21 +0530 
Sending ... 22 .. 2016-02-17 13:20:22 +0530 
Sending ... 23 .. 2016-02-17 13:20:22 +0530 
Sending ... 24 .. 2016-02-17 13:20:22 +0530 
Sending ... 25 .. 2016-02-17 13:20:23 +0530 
Sending ... 26 .. 2016-02-17 13:20:23 +0530 
Sending ... 27 .. 2016-02-17 13:20:24 +0530 
Sending ... 28 .. 2016-02-17 13:20:24 +0530 
Sending ... 29 .. 2016-02-17 13:20:24 +0530 
Sending ... 30 .. 2016-02-17 13:20:25 +0530 
Sending ... 31 .. 2016-02-17 13:20:25 +0530 
Sending ... 32 .. 2016-02-17 13:20:26 +0530

等等 ...

但是不幸的是,它只是为每行创建一个事件。 请参阅随附的屏幕截图。

在此处输入图片说明

这里我的Filebeat配置看起来像这样 (由于日志通常是非结构化的,因此再次不能使用regex,上面给出的日志仅作为示例。)

想到了吗?

注意: File Beat版本1.1.0

1 个解决方案

解决方案1
 2  2016-05-13 09:21:33

您将filebeat多行的max_lines用于错误的目的。

max_lines用于确保刷新多行事件Elasticsearch / Logstash( Filebeat文档 )。

这意味着,例如,当您将max_lines设置为5时。 而且您有7行多线事件。 Filebeat之后将仅发送前5行,它将刷新多行事件的内存并开始发送第二个事件。

目前,Filebeat 1.1.0无法实现您想要的方式。 您总是可以发布日志文件样本,以显示日志文件的不规则性,也许我们大家都能找到一个模式( Github问题 )。

另一方面,您为什么要这样做?

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Filebeat可以在管道中没有logstash的情况下将日志行输出转换为json吗? Filebeat未将日志发送到Logstash 将带有 filebeat 的日志发送到 logstash Elasticsearch + Filebeat + Logstash filebeat到logstash或elasticsearch ELK堆栈中的Logstash和filebeat Filebeat未将数据发送到Logstash FIlebeat-Redis-Logstash:Filebeat快速而Logstah缓慢,logstash线程化? 如何配置filebeat和logstash? 3个虚拟机 解析 XML Filebeat > Logstash > Elasticsearch
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM