Filebeat和logstash 使用過程中遇到的一些小問題記錄

原創 自由早晚亂餘生 2022-04-07 13:56

一、filebeat 收集軟鏈文件日誌

1.1、場景

  1. 由於我們新部署的Nginx 日誌都是採用的軟鏈的形式。

    lrwxrwxrwx 1 root  root      72 Apr  6 00:00 jy.baidu.com-80-access.log -> /usr/local/openresty/nginx/logs/jy.usmartsg.com-80-access.log.2022040600
-rw-r--r-- 1 nginx root 4502502 Apr  3 23:59 jy.baidu.com-80-access.log.2022040300
-rw-r--r-- 1 nginx root 5790629 Apr  5 00:00 jy.baidu.com-80-access.log.2022040400
-rw-r--r-- 1 nginx root 9166562 Apr  5 23:59 jy.baidu.com-80-access.log.2022040500
-rw-r--r-- 1 nginx root 2447936 Apr  6 09:31 jy.baidu.com-80-access.log.2022040600

  2. 我們收集日誌的時候,通過配置filebeat 收集日誌文件 jy.baidu.com-80-access.log, 因爲這個文件會一直軟鏈到最新的日誌文件。

  3. 但是我們會發現在啓動filebeatfilebeat 並沒有報錯什麼。 但是我們logstash 好像也沒有往es 寫日誌。

1.2、問題排查

  1. 我們首先是通過開啓filebeat 的 debug模式,就是看下 filebeat 的詳細日誌,這一步理論上來說,我們應該先通過kafka 看下是否有日誌寫入kafka。 但是沒有關係,我們通過看 filebeat 的詳細日誌。 可以一步分析到位。

    logging.level: debug

  2. 我們在日誌中可以看到下面的信息

    2022-04-03T19:48:21.675+0800        DEBUG        [monitoring]        memqueue/eventloop.go:228        handle ACK took: 54.938µs
2022-04-03T19:48:21.675+0800        DEBUG        [monitoring]        memqueue/ackloop.go:128        ackloop: return ack to broker loop:1
2022-04-03T19:48:21.675+0800        DEBUG        [monitoring]        memqueue/ackloop.go:131        ackloop:  done send ack
2022-04-03T19:48:23.443+0800        DEBUG        [input]        input/input.go:152        Run input
2022-04-03T19:48:23.443+0800        DEBUG        [input]        log/input.go:174        Start next scan
2022-04-03T19:48:23.443+0800        DEBUG        [input]        log/input.go:273        File /usr/local/openresty/nginx/logs/jy.usmartsg.com-80-access.log skipped as it is a symlink.
2022-04-03T19:48:23.443+0800        DEBUG        [input]        log/input.go:195        input states cleaned up. Before: 1, After: 1, Pending: 0
2022-04-03T19:48:26.443+0800        DEBUG        [input]        input/input.go:152        Run input
2022-04-03T19:48:26.444+0800        DEBUG        [input]        log/input.go:174        Start next scan

    日誌內容

    File /usr/local/openresty/nginx/logs/jy.usmartsg.com-80-access.log skipped as it is a symlink.

    我們可以看到文件因爲是軟鏈接所以被忽略了。

  3. 我們查看官方文檔,需要增加配置 symlinks: true

    filebeat.inputs:
- type: log
  symlinks: true

  4. 然後我們重啓filebeat 就可以看到有日誌寫入kafka了。

二、logstash

2.1、logstash 解析日誌不寫入es

每個人的場景不一樣。這裏只提供大概思路。

  1. kafka 是否有數據, 可以kafka consumer 進行訂閱用不同的 group 來同一個 topic。 進行查看是否有kafka數據

  2. logstash 啓動是否有報錯。

    [2022-04-02T20:55:06,432][INFO ][logstash.runner          ] Starting Logstash {"logstash.version"=>"6.8.0"}
[2022-04-02T20:55:07,554][ERROR][logstash.agent           ] Failed to execute action {:action=>LogStash::PipelineAction::Create/pipeline_id:main, :exception=>"LogStash::ConfigurationError", :message=>"Expected one of #, {, } at line 5, column 43 (byte 118) after input {\n  kafka {\n    group_id => \"hz-sg\"\n    topics => [\"hz-sg-nginxlog\"]\n    bootstrap_servers => \"10.59.4.50:9092\"", :backtrace=>["/usr/share/logstash/logstash-core/lib/logstash/compiler.rb:41:in `compile_imperative'", "/usr/share/logstash/logstash-core/lib/logstash/compiler.rb:49:in `compile_graph'", "/usr/share/logstash/logstash-core/lib/logstash/compiler.rb:11:in `block in compile_sources'", "org/jruby/RubyArray.java:2577:in `map'", "/usr/share/logstash/logstash-core/lib/logstash/compiler.rb:10:in `compile_sources'", "org/logstash/execution/AbstractPipelineExt.java:151:in `initialize'", "/usr/share/logstash/logstash-core/lib/logstash/pipeline.rb:22:in `initialize'", "/usr/share/logstash/logstash-core/lib/logstash/pipeline.rb:90:in `initialize'", "/usr/share/logstash/logstash-core/lib/logstash/pipeline_action/create.rb:43:in `block in execute'", "/usr/share/logstash/logstash-core/lib/logstash/agent.rb:96:in `block in exclusive'", "org/jruby/ext/thread/Mutex.java:165:in `synchronize'", "/usr/share/logstash/logstash-core/lib/logstash/agent.rb:96:in `exclusive'", "/usr/share/logstash/logstash-core/lib/logstash/pipeline_action/create.rb:39:in `execute'", "/usr/share/logstash/logstash-core/lib/logstash/agent.rb:334:in `block in converge_state'"]}
[2022-04-02T20:55:07,807][INFO ][logstash.agent           ] Successfully started Logstash API endpoint {:port=>9600}
[2022-04-02T20:55:12,703][INFO ][logstash.runner          ] Logstash shut down.

    像這種就是配置文件格式可能存在一些問題。

    [2022-04-02T20:36:04,433][ERROR][logstash.pipeline        ] Error registering plugin {:pipeline_id=>"main", :plugin=>"#<LogStash::FilterDelegator:0x5fdbe919>", :error=>"pattern %{SERVICE:service} not defined", :thread=>"#<Thread:0x20114a64 run>"}

    這種報錯就是我們沒有定義變量的匹配規則。

  3. 還有一種是我們最近遇到了的,就是我在 es 的 output 的時候,引用了一個變量 service 。 但是前面沒有定義這個。最後這個logstash 也沒有報錯,就是寫不到 es 裏面。

            elasticsearch {
            hosts => ["10.59.4.50","10.59.4.51","10.59.4.52"]
            index => "%{[service]-%{+YYYY.MM.dd}"
            template => "/etc/logstash/template/nginx.json"
            template_name => "nginx.json"
            template_overwrite => true
            user => "elastic"
            password => "1111111"
        }

  4. 開啓日誌debug. /etc/logstash/logstash.yml

    #log.level: debug

2.2、logstash 配置多個後端

  1. logstash -f /opt/logstash/conf/conf.d/

    注意/conf.d/ 後面不要加***** 這樣會導致只匹配一個。

  2. 使用多個配置文件裏面的input、filter、output 不是互相獨立的。

    logstash讀取多個配置文件只是簡單的將所有配置文件整合到了一起

    如果要彼此獨立,需要自己加字段,然後在output 判斷一下 ,通過字段進行區分。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

一些可用於研究的GIS數據資源

國內的情況就不用說了,基本上是很難找到可以用於研究的GIS數據資源的。要麼就是收費,免費的即使能找到,能否合法合規的進行使用也是一個問題。地理信息數據還是國外比較開放一些,相當多的政府組織或者公益機構對公衆開放了下載渠道,大家可以適度獲取並

harlee44 2024-05-07 14:31:18

如何在低代碼平臺中引用 JavaScript ?

引言 在當今快速發展的數字化時代,企業對業務應用的需求日益複雜且多元。低代碼開發平臺作爲一個創新的解決方案,以直觀易用的設計理念,打破了傳統的編程壁壘,讓非技術人員也能輕鬆構建功能完備的Web應用程序,無需深入編碼。這一特性極大地簡化了應用

葡萄城技術團隊 2024-05-07 14:30:48

如何使用 JavaScript 獲取當前頁面幀率 FPS

可以通過計算每秒 window.requestAnimationFrame 的調用頻率來做爲 FPS 值。它接收一個回調函數,該回調函數會在瀏覽器下一次重繪之前執行。所以只要我們循環調用並記錄單位時間內的調用次數就能計算當前頁面的幀率了。

劉漢貴 2024-05-07 14:26:58

Dash 2.17版本新特性介紹

本文示例代碼已上傳至我的Github倉庫https://github.com/CNFeffery/dash-master   大家好我是費老師,不久前Dash發佈了其2.17.0版本,執行下面的命令進行最新版本Dash的安裝: pip

費弗裏 2024-05-07 14:21:37

人大金倉數據庫使(cai)用(keng)記錄

最近一直在用人大金倉做項目,相關的文檔相比其它流行的所謂“主流”數據庫來說還是少了點,記錄一些開發過程中遇到的問題。 數據庫的模式(database_mode)在實例創建後就確定好了的,不可更改。想要改變模式只能重新init一個實例。

M_mxy 2024-05-07 14:17:06

《最新出爐》系列入門篇-Python+Playwright自動化測試-43-分頁測試

1.簡介 分頁測試,這種一般都是公共的方法系統中都寫好了,這種一般出現是數據展示比較多的時候,會採取分頁的方法,而且比較固定,一般是沒有問題的,因此它非常適合自動化測試,但是如何使用playwright來進行分頁自動化測試了,宏哥今天就講解

北京-宏哥 2024-05-07 14:14:46

Ubuntu18 安裝NoMachine遠程桌面(解決遠程桌面延遲)

# 問題:Ubuntu 18 使用自帶的共享桌面、VNC遠程桌面延遲、降低分辨率也無效。 # 方案:最後找到安裝 NoMachine的遠程桌面,解決遠程卡頓問題 根據自己操作系統 選擇NoMachine for Linux進行下載官網:ht

iucx 2024-05-07 14:11:26

gdb調試FAQ

“malloc.c: No such file or directory.” 參考:https://www.cnblogs.com/gatsby123/p/11755320.html 安裝依賴 sudo apt-get install li

ffl 2024-05-07 14:08:35

大數據面試SQL每日一題系列:最高峯同時在線主播人數。字節,快手等大廠高頻面試題

大數據面試SQL每日一題系列:最高峯同時在線主播人數。字節,快手等大廠高頻面試題 之後會不定期更新每日一題sql系列。 SQL面試題每日一題系列內容均來自於網絡以及實際使用情況收集,如有雷同,純屬巧合。 1.題目 問題1:如下爲某直播平臺各

魯邊 2024-05-07 14:06:45

工程款拖欠,農民工怎麼了?就得一直忍着委屈求全嗎?

事件背景 我以前只是在新聞看到過拖欠農民工工資這樣的事,但這次是發生在自己身上了! 今天晚上下班後,看見父母面露愁色,並認真的聽着父母的對話。 大概意思是就是爸爸跟着工程隊包天活已經完事有一段時間了,但是包天的工資一直不給,而且聽爸爸說那意

久曲健 2024-05-07 14:06:15

Canvas簡歷編輯器-我的剪貼板裏究竟有什麼數據

Canvas圖形編輯器-我的剪貼板裏究竟有什麼數據 在這裏我們先來聊聊我們究竟應該如何操作剪貼板,也就是我們在瀏覽器的複製粘貼事件,並且在此基礎上聊聊我們在Canvas圖形編輯器中應該如何控制焦點以及如何實現複製粘貼行爲。 在線編輯: h

WindrunnerMax 2024-05-07 14:05:25

HarmonyOS 實現下拉刷新,上拉加載更多

組件介紹 PullToRefreshList允許用戶通過下拉動作來刷新列表內容,以及通過上拉動作來加載更多的數據。組件內部封裝了滾動監聽、狀態管理和動畫效果,使得開發者可以輕鬆集成到自己的項目中。 1. 實現思路 封裝成可複用的公共控件:

西北野狼 2024-05-07 14:05:15

【轉】在 Linux 里布署 Docker

來自:百度 Docker 可以佈署在 Linux 系統上,也可以佈署在你自己的電腦上。 在 Linux 系統上佈署 Docker: 安裝 Docker: curl -fsSL https://get.docker.com -o get-d

z5337 2024-05-07 14:05:05

使用.NET源生成器(SG)實現一個自動注入的生成器

DI依賴注入對我們後端程序員來說肯定是基礎中的基礎了,我們經常會使用下面的代碼注入相關的service services.AddScoped<Biwen.AutoClassGen.TestConsole.Services.TestServi

萬雅虎 2024-05-07 14:04:44

mysql索引使用基礎

1.創建&刪除 MySQL可以通過CREATE、ALTER、DDL三種方式創建一個索引。 在MySQL中,使用CREATE INDEX語句可以創建索引。具體語法如下: CREATE INDEX indexName ON tableNam

楚景然 2024-05-07 14:01:04