Filebeat+Elasticsearch收集整洁的业务日志

鱼伯伯的编程思索 lv-3

一、开场

最近在开发业务网关,我们期望将网关的多维度日志搜集起来供作统计分析,其中就包括网关请求日志,监控日志等。抱着尽量少引入外部组件依赖,同时期望稳定性好的思路,最终选择了Filebeat+Elasticsearch这种组合的方案。 注:文中提及的Filebeat、Elasticsearch均是在6.5.4版本下实现。7以上版本会有部分差异,但不影响整体的实现思路。

二、收集效果

先放一张最终处理得到的ES文档结果截图: 图中主要搜集微服务Jvm相关的指标,经处理后,得到的全为业务所需字段,各业务无关字段都做了移除处理,有没有很整洁?

三、实现过程

使用过Filebeat都知道,采集的数据信息会被写入到一个message字段,要做内容解析可以配合Logstash使用Gork过滤器进行二次处理,为尽量减少外部组件的引入,我们未选择这种实现。考虑Filebeat本身可以对json格式的文件内容做解析处理,我们将要搜集的日志统一以json的格式输出,这样Filebeat即可直接实现日志内容的解析。

3.1 服务端日志记录

  • Java日志记录
public class MetricsGatherJob {
    
    private static final Logger LOG = LoggerFactory.getLogger(MetricsGatherJob.class);

    ...
    private void doGather() {
        try {
            LogMetricsInfo metrics = new LogMetricsInfo();
        ...
        #添加记录内容
        ...
            //已json格式将日志写出到日志文件
            LOG.info(jacksonToString(metrics));
        } catch (Exception ignore) {
            LOG.error(ignore.getMessage(), ignore);
        }
    }

    private String jacksonToString(LogMetricsInfo metrics) {
        ObjectMapper objectMapper = new ObjectMapper();
        objectMapper.setSerializationInclusion(JsonInclude.Include.ALWAYS);
        String response = null;
        try {
            response = objectMapper.writeValueAsString(metrics);
        } catch (JsonProcessingException ignore) {
            LOG.error(ignore.getMessage(), ignore);
        }
        return response;
    }
}
复制代码
  • logback日志配置
...
    <appender name="metricsRollingFile" class="ch.qos.logback.core.rolling.RollingFileAppender">
        <file>/data1/metrics/logs/metrics.log</file>
        <rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy">
            <fileNamePattern>/data1/metrics/logs/metrics.%d{yyyy-MM-dd}.log</fileNamePattern>
        </rollingPolicy>
        <encoder>
            <pattern>%msg%n</pattern>
        </encoder>
    </appender>

    <logger name="xxxpackage.MetricsGatherJob" level="INFO">
        <appender-ref ref="metricsRollingFile"/>
    </logger>
...
复制代码
  • 日志记录样例
{"instance_id":"microservices-gateway-1987-169.254.51.37","minor_gc_count":4,"minor_gc_costs":0.043,"major_gc_count":1,"major_gc_costs":0.126,"heap_old_size":30225216,"heap_survivor_size":0,"heap_eden_size":76985408,"heap_total_size":107210624,"metaspace_size":61840000,"non_heap_committed_size":88760320,"non_heap_used_size":84556424,"non_heap_max_size":1325400063,"threads_new":0,"threads_blocked":0,"threads_runnable":12,"threads_terminated":0,"threads_timed_waiting":24,"threads_waiting":16,"cpu_usage":0.0,"gather_time":1600063277535}
{"instance_id":"microservices-gateway-1987-169.254.51.37","minor_gc_count":4,"minor_gc_costs":0.043,"major_gc_count":1,"major_gc_costs":0.126,"heap_old_size":30225216,"heap_survivor_size":0,"heap_eden_size":87406704,"heap_total_size":117631920,"metaspace_size":62022688,"non_heap_committed_size":89415680,"non_heap_used_size":85142112,"non_heap_max_size":1325400063,"threads_new":0,"threads_blocked":0,"threads_runnable":12,"threads_terminated":0,"threads_timed_waiting":20,"threads_waiting":17,"cpu_usage":0.6869372973126338,"gather_time":1600063338324}
{"instance_id":"microservices-gateway-1987-169.254.51.37","minor_gc_count":4,"minor_gc_costs":0.043,"major_gc_count":1,"major_gc_costs":0.126,"heap_old_size":30225216,"heap_survivor_size":0,"heap_eden_size":96924312,"heap_total_size":127149528,"metaspace_size":62038344,"non_heap_committed_size":90005504,"non_heap_used_size":85688504,"non_heap_max_size":1325400063,"threads_new":0,"threads_blocked":0,"threads_runnable":12,"threads_terminated":0,"threads_timed_waiting":20,"threads_waiting":17,"cpu_usage":0.7160772089562932,"gather_time":1600063398395}
复制代码

3.2 Filebeat配置

  • filebeat.yml关键配置
#======= Filebeat inputs ========
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /data1/metrics/logs/*metrics.log
  json.keys_under_root: true # 如果日志格式是json格式,设置为true之后,filebeat会将日志进行json解析。
  json.add_error_key: true   # 如果启用此设置,出现json解析错误,Filebeat将添加“error.message”和“error.type”字段。


#------- Elasticsearch output ---
#启动外部自定义模板,且启用json模板
setup.ilm.enabled: false
setup:template.enabled: true
setup.template.overwrite: true
setup.template.json.enabled: true

#指定ES索引模板,filebeat将日志记录写入ES时,会自动创建索引
setup.template.name: "gateway_metrics_logs"
setup.template.pattern: "gateway_metrics_logs*"
setup.template.json.path: "/data1/index/template/gateway_metrics_logs_template.json"
setup.template.json.name: "gateway_metrics_logs_index_template"

#采集数据输出到ES
output.elasticsearch:
  hosts: ["127.0.0.1:9200"]
  index: "gateway_metrics_logs"
  pipeline: "gateway_metrics_logs_pipline"
复制代码
  • gateway_metrics_logs_template.json
{
    "index_patterns": [
      "gateway_metrics_logs*"
    ],
    "mappings": {
      "doc":{
      "dynamic_templates": [
        {
          "strings_as_keyword": {
            "mapping": {
              "type": "text",
              "analyzer": "standard",
          "fields":{
            "keyword":{
              "type":"keyword"
            }
          }
            },
            "match_mapping_type": "string",
        "match": "*"
          }
        }
      ],
      "properties": {
        "instance_id": {
          "type": "text",
          "analyzer": "standard"
        },
        "minor_gc_count": {
          "type": "long"
        },
        "minor_gc_costs": {
          "type": "double"
        },
        "major_gc_count": {
          "type": "long"
        },
        "major_gc_costs": {
          "type": "double"
        },
        "heap_old_size": {
          "type": "long"
        },
        "heap_survivor_size": {
          "type": "long"
        },
        "heap_eden_size": {
          "type": "long"
        },
        "heap_total_size": {
          "type": "long"
        },
        "non_heap_committed_size": {
          "type": "long"
        },
        "non_heap_used_size": {
          "type": "long"
        },
        "non_heap_max_size": {
          "type": "long"
        },
        "threads_new": {
          "type": "long"
        },
    	"threads_blocked": {
          "type": "long"
        },
    	"threads_runnable": {
          "type": "long"
        },
    	"threads_terminated": {
          "type": "long"
        },
    	"threads_timed_waiting": {
          "type": "long"
        },
    	"threads_waiting": {
          "type": "long"
        },
        "cpu_usage": {
          "type": "double"
        },
        "gather_time": {
          "type": "long"
        }
      }
    }
  }
}
复制代码

3.3 Elasticsearch端处理

Filebeat的采集会添加很多基础的信息,比如“input”,“agent”,“host”,“@timestamp”等字段。而这些字段对于我们的业务分析属于无意义的字段,于是我们使用ES ingest pipline做移除处理。回头看filebeat.yml的output.elasticsearch中定义了一个pipline:gateway_metrics_logs_pipline,正是为了解决这个烦恼。 Ingest pipline需要在Elasticsearch端提前定义,gateway_metrics_logs_pipline的定义命令如下:

PUT _ingest/pipeline/gateway_metrics_logs_pipline
{
    "description": "template",
    "processors": [
        {
            "remove": {
                "field": "input",
                "ignore_missing": true
            }
        },
        {
            "remove": {
                "field": "host",
                "ignore_missing": true
            }
        },
        {
            "remove": {
                "field": "offset",
                "ignore_missing": true
            }
        },
        {
            "remove": {
                "field": "prospector",
                "ignore_missing": true
            }
        },
        {
            "remove": {
                "field": "beat",
                "ignore_missing": true
            }
        },
        {
            "remove": {
                "field": "@timestamp",
                "ignore_missing": true
            }
        },
        {
            "remove": {
                "field": "source",
                "ignore_missing": true
            }
        },
        {
            "remove": {
              "field": "fields",
              "ignore_missing": true
            }
        },
        {
            "remove": {
              "field": "meta",
              "ignore_missing": true
            }
        }
    ]
}
复制代码

注: "ignore_missing": true,表示当filebeat输入的数据没有该字段时,则不作任何处理便将文档ES,如果不配置则会抛出字段缺失的异常,文档不会正常写入。

四、总结

本文描述了一种完整的日志处理方法,涵盖记录、采集、解析入库,且最终写入ES的文档记录非常清爽整洁,通过这种实现,我们可以方便的解决监控日志、请求日志、业务埋点日志的采集入库,以供后续的分析统计。

若有益处,请关注、点赞。个人认知有限,不准确的地方,欢迎指正!

End.

分类:
后端
标签:
Java
相关推荐
  • 铭小小
    3年前
    运维
    Linux搭建 ELK 日志收集系统: filebeat + redis + logstash +elasticsearch + kibana
    1. ELK介绍 ELK 是三个开源软件的缩写,分别代表 Elasticsearch, Logstash, Kibana, 这是最早的日志收集分析系统结构。 filebeat : 轻量级的日志收集处理工具, 占用资源更少, 一般收集数据之后发生给logstash或缓存系统,也可…
    • 2065
    • 评论
  • 程序员乔戈里
    3年前
    Java
    美团面试官问我一个字符的String.length()是多少,我说是1,面试官说你回去好好学一下吧
    本文首发于微信公众号:程序员乔戈里以上结果输出为7。小萌边说边在IDEA中的win环境下选中String.length()函数,使用ctrl+B快捷键进入到String.length()的定义。接着使
    • 24.2w
    • 246
  • W同学97446
    3年前
    后端
    ELK+FileBeat实现按天切割收集日志
    总体架构图:FileBeat:负责收集系统中各个服务产生的日志,将日志收集至kafka;Kafka:作为高吞吐量的消息总线服务,暂存日志数据;(为后期扩展格式化日志内容预留,FileBeat写进原始日
    • 2867
    • 2
  • 民工哥技术之路
    4年前
    ELK + Filebeat 搭建日志系统
    分布式搜索和分析引擎。具有高可伸缩、高可靠和易管理等特点。基于 Apache Lucene 构建,能对大容量的数据进行接近实时的存储、搜索和分析操作。 日志收集器。搜集各种数据源,并对数据进行过滤、分析、格式化等操作,然后存储到 Elasticsearch。 数据分析和可视化平…
    • 472
    • 评论
  • iFangcy_
    3年前
    Spring
    Elasticsearch+Fluentd+Kafka搭建分布式日志系统
    前言由于logstash内存占用较大,灵活性相对没那么好,ELK正在被EFK逐步替代.其中本文所讲的EFK是Elasticsearch+Fluentd+Kfka,实际上K应该是Kibana用于日志的展
    • 517
    • 评论
  • 小卡拉蜜
    2年前
    Elasticsearch
    elasticsearch + logstash + kibana日志系统清理的坑
    使用上述指令对相关索引进行清除,但效果不明显,最后全部清理重新添加。 后发现每个索引都有一个备份的分片,而这个分片并没有被分配。也就是存在unassigned shards的情况。先使用以下指令查看索引unassigned shards的原因以及数量。 可以发现集群的状态为健康…
    • 991
    • 评论
  • Elasticsearch
    1年前
    后端
    Beats:使用 Filebeat 导入 JSON 格式的日志文件
    在我们之前的文章 “Beats: 使用 Filebeat 进行日志结构化”,我使用了一种方法来解析一个 JSON 格式的文件,并导入到 Elasticsearch 中。在今天的文章中,我来用另外的一种方式来展示如何导入一个 JSON 格式的文件。sample.这里面就只有两条数据...
    • 1193
    • 评论
  • Elasticsearch
    1年前
    后端
    Beats:如何使用 Filebeat 结合机器学习导入日志
    我在很早的文章 “Beats:通过 Filebeat 把日志传入到 Elasticsearch” 已经写给了如何通过 Filebeat 把日志文件写入到 Elasticsearch 中。在那篇文章中,我们没有特别特别指出是如何设计一个 pipeline 来处理数据的。我在文章 “...
    • 172
    • 评论
  • Elasticsearch
    1年前
    后端
    Beats:使用 Filebeat 传送多行日志
    在解决应用程序问题时,多行日志为开发人员提供了宝贵的信息。 堆栈跟踪就是一个例子。 堆栈跟踪是引发异常时应用程序处于中间的一系列方法调用。 堆栈跟踪包括遇到错误的相关行以及错误本身。 Exception in thread "main" java.lang.at com.exam...
    • 143
    • 评论
  • Elasticsearch
    1年前
    后端
    Beats:运用 Filebeat 把 MQTT 数据导入到 Elasticsearch
    物联网(IoT)描述了嵌入传感器,软件和其他技术的物理对象(“物”)网络,目的是通过 Internet 与其他设备和系统进行数据连接和交换。物联网是一张很大的网,它比互联网更大,更为广泛。随着物联网的发展,大量的数据可以上传到 Elasticsearch 中,并作为理想的存储空间...
    • 290
    • 评论
  • SDK.cn
    6年前
    Apache Storm
    基于 Flume+Kafka+ Elasticsearch+Storm 的海量日志实时分析平台
    本篇文章整理自袁晓亮 4 月 26 日在『ITA1024 大数据技术精英群』里的分享实录:基于 Flume+Kafka+ Elasticsearch+Storm 的海量日志实时分析平台 。
    • 6599
    • 评论
    基于 Flume+Kafka+ Elasticsearch+Storm 的海量日志实时分析平台
  • 大江小浪
    1年前
    代码规范
    Filebeat+Logstash+ElasticSearch+Kibana搭建Apache访问日志解析平台
    对于ELK还不太熟悉的同学可以参考我前面的两篇文章 &quot;ElasticSearch + Logstash + Kibana 搭建笔记&quot; 、 &quot;Log stash学习笔记(一
    • 270
    • 评论
  • 阳光是sunny
    1年前
    前端 JavaScript
    三面面试官:运行 npm run xxx 的时候发生了什么?
    面试官:npm run xxx的时候,发生了什么?讲的越详细越好。 我(嘿嘿,稳了,这次我要30k): 嘻嘻!
    • 15.9w
    • 432
    三面面试官:运行 npm run xxx 的时候发生了什么?
  • 架构师springboot
    3年前
    Logstash
    详解日志采集工具--Logstash、Filebeat、Fluentd、Logagent对比
    Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。 Logstash 主要的有点就是它的灵活性,主要因为它有很多插件,详细的文档以及直白的配置格式让它可以在多种场景下应用。我们基…
    • 6500
    • 评论
  • 五彩的颜色
    3年前
    Java
    ELK(ElasticSearch, Logstash, Kibana)搭建实时日志分析平台
    ELK平台介绍日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而
    • 849
    • 评论
  • Elasticsearch
    1年前
    后端
    Beats: 使用 Filebeat 进行日志结构化 - Python
    结构化日志背后的想法很简单:让应用程序直接编写 JSON 对象,而不是让应用程序将需要通过正则表达式解析的日志写入到你索引到 Elasticsearch 的 JSON 对象中。举例来说,假设你正在编写 Python Web 应用程序,并且正在使用标准库进行记录。 createlo...
    • 411
    • 评论
  • Elasticsearch
    1年前
    后端
    Beats:通过 Filebeat 把日志传入到 Elasticsearch
    我们知道 Elastic Stack 被称之为 ELK (Elasticsearch,Logstash and Kibana)。由于beats的加入,现在很多人把 ELK 说成为ELKB。这里的 B 就是代表 Beats。Beats 在 Elasticsearch 中扮演很重要的...
    • 292
    • 评论
  • Elasticsearch
    1年前
    后端
    Beats:如何使用 Filebeat 将 MySQL 日志发送到 Elasticsearch
    在今天的文章中,我们来详细地描述如果使用 Filebeat 把 MySQL 的日志信息传输到 Elasticsearch中。我有一台 MacOS 机器。在上面我安装了 Elasticsearch 及 Kibana。在这个机器里,我同时安装了一个 Ubuntu 18.04 的虚拟机...
    • 233
    • 评论
  • 闹了个笑话吧
    1年前
    后端
    ELK+Filebeat采集SpringBoot日志
    1.安装ES 1.1 下载ES镜像 1.2 挂载目录 在/usr/local/docker/elk/es/config目录下新建elasticsearch.yml文件 1.3 运行ES 进入elast
    • 2863
    • 2
    ELK+Filebeat采集SpringBoot日志

    • 友情链接:

    程序猿
    私信
    获得点赞  27
    文章被阅读  9,763
    相关文章
    使用delay-job开源项目快速实现延迟调度业务
    5点赞
     · 
    0评论
    ELK + Filebeat 搭建日志系统
    74点赞
     · 
    0评论
    (附Java代码)基于令牌桶算法的分布式限流工具
    5点赞
     · 
    0评论
    重构 - 代码整洁之道
    688点赞
     · 
    30评论
    你居然还去服务器上捞日志,搭个日志收集系统难道不香么!
    208点赞
     · 
    27评论