2. 程式人生 > 實用技巧 >Logstash結合log4j收集tomcat日誌

Logstash結合log4j收集tomcat日誌

阿新 發佈:2020-08-09

https://www.kancloud.cn/hanxt/elk/158471

翻譯,原文地址:https://blog.lanyonm.org/articles/2015/12/29/log-aggregation-log4j-spring-logstash.html

解析原始日誌檔案是Logstash攝取資料的好方法,有好幾種方法可以將同樣的資訊轉送到Logstash。選擇這些方法需要做一下權衡,它們或多或少只適合特定的場景。之前我已經發布了關於多行的tomcat日誌解析,這篇博文是嘗試比較它和一些其他的方法:log4j-JSON格式,log4j-TCP 和 原始的log4j的多行編解碼器。

這些例子是在一臺機器上開發的,但設計目的是使您的ELK棧執行在不同的機器/例項/容器上。在多機環境Filebeat(原logstash-forwarder)將在使用檔案輸入的情況下使用。

下面是這次測試中,使用到的軟體版本

  • Java 7u67
  • Spring 4.2.3
  • Logstash 2.1.0
  • Elasticsearch 2.1.1
  • Kibana 4.3.1

我第一次開始創作這篇博文是在,2014年11月28日,所以請原諒有些選項可能不再好用。此外,你會發現,SLF4J被用作一個log4j的抽象在程式碼示例中使用。

Log4j As JSON

這種方法用於JSON格式的log4j日誌,然後用Logstash的檔案輸入一個JSON編解碼器攝取資料。這將使用避免不必要的解析和執行緒不安全多行過濾器。Seeing json-formatted logs can be jarring for a Java dev (no pun intended), but reading individual log files should be a thing of the past once you’re up and running with log aggregation.如果您有足夠的磁碟空間,你可以執行兩個並聯的追加程式。

比起使用複雜的PatternLayout,讓我們一起來看看log4j-jsonevent-layou。一個完全基於配置的符合需求的解決方案。

pom.xml中包含如下的依賴項:

<dependency>
    <groupId>net.logstash.log4j</groupId>
    <artifactId>jsonevent-layout</artifactId>
    <version>1.7</version>
</dependency>

log4j.properties 看起來很熟悉

log4j.rootLogger=debug,json

log4j.appender.json=org.apache.log4j.DailyRollingFileAppender
log4j.appender.json.File=target/app.log
log4j.appender.json.DatePattern=.yyyy-MM-dd
log4j.appender.json.layout=net.logstash.log4j.JSONEventLayoutV1
log4j.appender.json.layout.UserFields=application:playground,environment:dev

Logstash的配置如你所想:

input {
  file {
    codec => json
    type => "log4j-json"
    path => "/path/to/target/app.log"
  }
}
output {
  stdout {}
}

The values set in the UserFields are important because they allow the additional log metadata (taxonomy) to be set in the application configuration. This is information about the application and environment that will allow the log aggregation system to categorize the data. Because we’re using the file input plugin we could also use add_field, but this would require separate file plugins statements for every application. Certainly possible, but even with configuration management more of a headache than the alternative. Also, the path parameter of the file plugin is an array so we can specify multiple files with ease.

如果所有的事情都做對, 在kibana中的log資訊應該如下所示:

A log message from Playground using log4j-jsonevent-layout
As you can see, the UserFields are parsed into Logstash fields. If you prefer these values to be set via command line and environment variable, the library provides a way that will override anything set in the log4j.properties.

Log4j over TCP

這種方法使用log4j的SocketAppender和Logstash的log4j input。日誌事件被轉換成可經由SocketAppender二進位制格式並傳輸到log4j input。這裡的好處是,新的Log4j追加可無需額外的依賴,而且我們能夠避免處理額外的多行過濾器。在深入挖掘這種方法的缺點之前,讓我們來看看它如何實現。

這裡的log4j.properties的一個片段:

log4j.rootLogger=debug,tcp

log4j.appender.tcp=org.apache.log4j.net.SocketAppender
log4j.appender.tcp.Port=3456
log4j.appender.tcp.RemoteHost=localhost
log4j.appender.tcp.ReconnectionDelay=10000
log4j.appender.tcp.Application=playground

對應的 Logstash配置片段如:

input {
  log4j {
    mode => "server"
    host => "0.0.0.0"
    port => 3456
    type => "log4j"
  }
}
output {
  stdout {}
}

採用上面的log4j的配置,你將無法看到日誌的application欄位。當此引數被設定,Logstash將它解析為一個event欄位。這是非常方便的,但它無法滿足你進行日誌分類- 揭露這種方法的缺點之一:用application和環境識別資訊對日誌事件打標籤。在Logstash配置時需要使用一個輸入外掛add_field。這種做法將意味著對於每一個Java應用程式,將傳送日誌到不同的輸入 外掛/埠 - 對於擴充套件應用來說,這真的不好玩!

對映診斷上下文(Mapped Diagnostic Context)

對映診斷上下文(MDC)提供了一種方法,通過設定一組你感興趣的資訊的map鍵值對,來豐富標準日誌資訊。值得慶幸的是log4j的外掛將解析MDC到日誌事件欄位中。MDC在每個執行緒中單獨管理,但是子執行緒自動繼承父執行緒的MDC的副本。這意味著日誌分類可以在應用程式的主執行緒設定為MDC,並影響其整個生命週期的每個日誌宣告。

下面是一個簡單的例子:

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.slf4j.MDC;

public class LoggingTaxonomy {

    private static final Logger log = LoggerFactory.getLogger(LoggingTaxonomy.class);

    static public void main(String[] args) {
        MDC.put("environment", System.getenv("APP_ENV"));
        // run the app
        log.debug("the app is running!");
    }
}

一個樣式如%d{ABSOLUTE} %5p %c{1}:%L - %X{environment} - %m%n的PatternLayout,並且設定APP_ENV為dev,你將看到如下輸出:

15:23:03,698 DEBUG LoggingTaxonomy:34 - dev - the app is running!

在何時何地整合MDC很大程度上決定於你的應用使用的框架。但是我曾經用過的每一個框架都有一個地方可以設定這個資訊。在Spring MVC中,可以放在應用初始化方法中。

如果所有的事情都做對, 在kibana中的log資訊應該如下所示:

使用這種方法需要注意幾個事情:

    • The logging level is stored in priority, not level as is with log4j-jsonevent-layout
    • 沒有 source_host 欄位, 所以你需要通過MDC方式自行新增

相關推薦

Logstash結合log4j收集tomcat日誌

https://www.kancloud.cn/hanxt/elk/158471 翻譯,原文地址:https://blog.lanyonm.org/articles/2015/12/29/log-aggregation-log4j-spring-logstash.html

Logstash收集Tomcat日誌

1.安裝Tomcat 1.安裝java環境 [root@web01 ~]# rpm -ivh jdk-8u181-linux-x64.rpm 2.上傳包 [root@web01 ~]# rz apache-tomcat-10.0.0-M7.tar.gz

logstash 收集tomcat日誌

四、logstash收集tomcat日誌 在企業中,我們看到tomcat日誌遇到異常(exception)一條日誌可能是幾行或者十幾行甚至幾十行,

Logstash配合rsyslog收集haproxy日誌

1.rsyslog介紹 在centos 6及之前的版本叫做syslog,centos 7開始叫做rsyslog,根據官方的介紹,rsyslog(2013年版本)可以達到每秒轉發百萬條日誌的級別,官方網址:http://www.rsyslog.com/

使用logstash配置rsyslog收集haproxy日誌

一,使用logstash配置rsyslog收集haproxy日誌 1.rsyslog介紹 在centos 6及之前的版本叫做syslog,centos 7開始叫做rsyslog,根據官方的介紹,rsyslog(2013年版本)可以達到每秒轉發百萬條日誌的級別,rsyslog是日誌

Logstash實現高併發日誌收集 & 日誌推送

目錄一、Logstash將資料收集到Redis0.建議1.準備環境2.安裝redis、ES、kibana、logstash3.配置收集Nginx日誌到redis4.收集Nginx和tomcat日誌到redis5.配置將redis取出,寫入ES6.頁面檢視結果二、通過TCP/UDP收集日誌

Logstash簡介與配置&logstash收集Java日誌

1.簡介與工作流程   Logstash是採用ruby語言開發的。logstash與beats一樣,是一個data shipper,只不過logstash比較重量級,支援的功能也多。

配置 Logstash 收集 Rsyslog 日誌

配置檔案:/etc/logstash/conf.d/logstash-indexer.conf input { #file { #path => [ \"/var/log/*.log\", \"/var/log/messages\", \"/var/log/syslog\" ]

log-pilot中的filebeat採集tomcat日誌多行日誌輸出修改

1、官網下載或克隆log-pilot專案 2、修改filebeat.tpl檔案 [root@dev-k8s-node03 log-pilot]# ls

tomcat 日誌轉 json

vim conf/server.xml <Valve className=\"org.apache.catalina.valves.AccessLogValve\" directory=\"logs\"prefix=\"tomcat_access_log\" suffix=\".log\" pattern=\"{&quot;clientip&quot;:&quot;

EFK(Elasticsearch+Filebeat+Kibana)收集容器日誌

Elasticsearch是一個實時的、分散式的可擴充套件的搜尋引擎,允許進行全文、結構化搜尋,它通常用於索引和搜尋大量日誌資料,也可用於搜尋許多不同型別的文件。

idea日誌亂碼和tomcat日誌亂碼問題的解決方法

1 idea啟動tomcat亂碼 遇到的問題: idea整合SSM專案,tomcat啟動,啟動時檢視idea上的tomcat日誌,出現亂碼:

Filebeat 收集K8S 日誌,生產環境實踐

根據生產環境要求,需要採集K8S Pod 日誌,和開發協商之後,Pod中應用會將日誌輸出到容器終端上,這時可以直接用filebeat 採集node節點上面的/var/log/containers/*.log日誌,然後將日誌輸出到kafka訊息佇列中,經過

centos7定時任務刪除tomcat日誌

1、建立並編寫shell指令碼檔案clear_tomcat_logs.sh,內容如下 #!/bin/sh find /usr/local/zzxsoft/schedule/logs/ -mtime +2 -type f -name zzx.* -exec rm -f \'{}\' \\;

Tomcat日誌分析

1 #!/bin/bash 2 #Shellstatistics.sh 3 #Author    lipc 4 #Date 20200818 5 #Ps   tomcat接入日誌分析,需要tomcat日誌開啟訪問時間記錄

收集Nginx日誌

1.安裝Nginx [root@web01 ~]# yum install -y nginx 2.配置Nginx日誌格式 [root@web01 ~]# vim /etc/nginx/nginx.conf

filebeat收集日誌

1.收集日誌到ES 1)方式一: [root@web01 ~]# vim /etc/filebeat/filebeat.yml filebeat.inputs: - type: log

Filebeat收集單個日誌&json格式

1.配置收集日誌到檔案 [root@web01 ~]# vim /etc/filebeat/filebeat.yml filebeat.inputs: - type: log

logstash如何讀取json格式日誌,並建立json定義好的索引

json格式一般是在apache,或者nginx中定義好的Log_format格式,這個log_format就是json格式的,定義好以後,在logstash配置檔案中,input file新增codec=>json,就可以讀取

K8S 使用 SideCar 模式部署 Filebeat 收集容器日誌

對於 K8S 內的容器日誌收集,業內一般有兩種常用的方式: 使用 DaemonSet 在每臺 Node 上部署一個日誌收集容器,用於收集當前 Node 上所有容器掛載到宿主機目錄下的日誌