2. 程式人生 > >ELK elasticsearch kibana 日誌排序 之 日誌二級排序

ELK elasticsearch kibana 日誌排序 之 日誌二級排序

阿新 發佈:2018-12-10

背景:之前搭建ELK時候經常聽開發人員反饋說日誌的資料和伺服器的日誌順序不一致, 看日誌給他們帶來許多煩惱

問題分析:kibana向es(elasticsearch)傳送請求的時候預設排序為@timestamp欄位,然而@timestamp欄位的精度是毫秒, 也就是說如果同一毫秒內輸出多條日誌則在kibana展示的日誌就會出現和伺服器日誌不一致的問題。

解決方案:1 調整日誌收集把時間精度調整到微妙,當時確實也嘗試過,好像不太容易實現(如果讀者有該解決方案可以留言)

                  2 讓kibana展示日誌除了@timestamp 排序外在加一個二級排序

方案實施:最終我選用了方案二, 方案說明:

                  我的採集器為filebeat, filebeat採集日誌的時候會增加一個屬性叫做offset欄位, offset欄位標識所讀取日誌的偏移量(行數), 方案二思路:讓kibana請求es的時候除了基於@timestamp外在基於offset排序,那麼如果讓kibana基於offset做二次排序呢, 實現方式為:攔截kibana 傳送到es的請求(_msearch)需改請求內容新增基於offset排序。如何攔截kibana請求報文呢?以下是我的實現方式可供參考:

實現方式一:我們生產環境的kibana是用到了ownhome外掛 ,該外掛其實就是一個代理服務,通過修改ownhome程式碼實現新增offset排序,修改如下:

  1.   開啟own_home原始碼檔案:vim {kibana_home}/plugins/own_home/server/proxy/modify_payload.js
  2. 新增如下指令碼到該檔案的  " function replaceRequestBody(body) { 下
  3. 重啟kibana
  4. 搜尋頁面驗證
 // Replace kibana.index in mget request body
    function replaceRequestBody(body) {


// add default secondary sort for kibana, sort by offset field, add by zhangyuming 

     try{
      if (request.path === '/_msearch'){
        let lines = body.split('\n');
        for(var i = 0; i < lines.length; i++){
          if(lines[i].length > 2){
                var tmp = JSON.parse(lines[i]);
                if( typeof(tmp) == "object"
                        && tmp.hasOwnProperty("sort") && tmp["sort"].length == 1
                        && typeof(tmp["sort"][0]) == "object" && tmp["sort"][0].hasOwnProperty("@timestamp")
                        && tmp["sort"][0]["@timestamp"]["order"] == "desc" ){

                        server.log(['plugin:own-home', 'debug'], '################ request.path: ' + i + '  : '+ lines[i]);
                        var offsetSort = JSON.parse("{\"offset\":{\"order\":\"desc\",\"unmapped_type\":\"boolean\"}}");
                        tmp["sort"][1] = offsetSort;

                        lines[i] = JSON.stringify(tmp);
                        body = lines.join("\n");
                        server.log(['plugin:own-home', 'debug'], '################ request.path: ' + body);
                }
          }

        }
      }
     } catch(err){
        server.log(['plugin:own-home', 'debug'], 'body add sort fail ' + body + '    : ' + err);
     }
// end default sort for kibana


      if (!request.path.endsWith('_mget')) {
        return new Buffer(body);
      }

實現方式二:我們測試環境沒有用到ownhome外掛,後來自己想了想寫了代理用於修改kibana的報文的工具elsaticproxy。

使用方式:

  1.      下載elasticproxy工具
  2.     啟動 ./elasticproxy -elastic_home you_es_host:es_port  預設服務埠為8899
  3.      修改kibana的es指向指向elasticproxy的8899埠
  4.      驗證排序

專案說明:目前該專案只實現了kibana的二級排序, 當然你也可以基於該專案實現其他代理功能例如日誌脫敏等代理服務,

                  專案的開發方式我稍後會完善到github上

歡迎大家使用,或者PR

相關推薦

ELK elasticsearch kibana 日誌排序 日誌二級排序

背景:之前搭建ELK時候經常聽開發人員反饋說日誌的資料和伺服器的日誌順序不一致, 看日誌給他們帶來許多煩惱 問題分析:kibana向es(elasticsearch)傳送請求的時候預設排序為@timestamp欄位,然而@timestamp欄位的精度是毫秒, 也就是說如果同

Logstash+Elasticsearch+Kibana 聯合使用搭建日誌分析系統(Windows系統)

        最近在做日誌分析這塊兒,要使用 Logstash+Elasticsearch+Kibana 實現日誌的匯入、過濾及視覺化管理,官方文件寫的不夠詳細,網上的文章大多要麼是針對Linux系統的用法,要麼就是抄襲別人的配置大都沒法執行。費了很大勁才搞定了這仨東西,

基於.NetCore3.1系列 —— 日誌記錄日誌配置揭祕

# 一、前言 在專案的開發維護階段,有時候我們關注的問題不僅僅在於功能的實現,甚至需要關注系統釋出上線後遇到的問題能否及時的查詢並解決。所以我們需要有一個好的解決方案來及時的定位錯誤的根源並做出正確及時的修復,這樣才能不影響系統正常的執行狀態。 這個時候我們發現,其實在asp.net core中已經

基於.NetCore3.1系列 —— 日誌記錄日誌核心要素揭祕

# 一、前言 回顧:[日誌記錄之日誌配置揭祕](https://www.cnblogs.com/i3yuan/p/13411793.html) 在[上一篇](https://www.cnblogs.com/i3yuan/p/13411793.html)中,我們已經瞭解了內建系統的預設配置和自定義配置的方式,

內部排序(3)——插入排序折半插入排序

復雜 span oid pre 時間 查找 insert -1 順序 因為插入排序的基本思想是在一個有序序列中插入一個新的記錄,則能夠利用"折半查找"查詢插入位置,由此得到的插入排序算法為"折半插入排序"。算法例如以下: void BInsertSort ()  {

排序歸並排序

處理 cor delet 數據 sort img str 內存 amp 歸並排序在外排序和內排序的作用都是非常大的,本人覺得要是要用戶外排。在處理大數據排序,當內存大小不足以把所有數據一次載入時,這時就需要歸並排序。以下進行的是2路歸並排序為主。 數組遞歸歸並 1 v

基數排序多keyword排序運用隊列

printf mod n) key sort article name str oid 源碼例如以下: #include <stdlib.h> #include <stdio.h> typedef struct QUEUEnode* li

Java排序直接選擇排序

循環 oid 之間 min static cts ava void ont public class SelectSort { public static void selectSort(int [] a){ int min; int te

(4)排序希爾排序

減少 http 復雜度 需要 ... clas center 記錄 str 轉載:http://www.cnblogs.com/jingmoxukong/p/4303279.html 要點 希爾(Shell)排序又稱為縮小增量排序,它是一種插入排序。它是直接插入排序算法的一

經典排序歸並排序

col 元素 -i family font 穩定排序 ack body 等於 歸並排序(Merge Sort)是建立在歸並操作上的一種有效的排序算法,它將已有序的子序列合並,得到完全有序的序列。 歸並排序的速度僅次於快速排序,時間復雜度為O(nlogn),為穩定排序算法,

Java排序歸並排序

urn source tail 簡介 i++ 得到 長度 gear public Java排序之歸並排序 1. 簡介 歸並排序的算法是將多個有序數據表合並成一個有序數據表。如果參與合並的只有兩個有序表,則成為二路合並。對於一個原始的待排序數列,往往可以通過分割的方法來歸結為

排序希爾排序(JS)

tps 次數 shellSort 轉載 提升 時間復雜度 tar 高效 長大   希爾排序(Shell‘s Sort)是插入排序的一種又稱“縮小增量排序”(Diminishing Increment Sort),是直接插入排序算法的一種更高效的改進版

排序演算法--選擇排序簡單選擇排序

在待排序記錄中,選擇一個最小的數,和第一個記錄交換位置,在剩下n-1個的記錄中選擇最小的和第二個記錄交換,依次類推,最終可以得到一個有序的序列。 程式碼: #include <string.h> #include <malloc.h> #includ

排序演算法--插入排序希爾排序

希爾排序是對直接插入排序演算法的改進,把整個序列分割為若干子序列,對每個子序列進行直接插入排序,最後對整個序列進行直接插入排序(因為經過前面的子序列排序,整個序列基本有序,最後進行一次直接插入排序效率會比一開始就做排序高)。 如果掌握了直接插入排序,那麼希爾排序也比較容易理解了

排序演算法--插入排序直接插入排序

直接插入排序的核心思想是把一個記錄插入一個有序序列中,每插入一個記錄就得到一個新的有序序列,直到所有記錄都插入成功,得到有序序列。 每次插入記錄時的有序序列如何得到,關鍵在第一次,第一次要插入的記錄時序列的第二個值,有序序列只有一個值,就是第一個記錄。 程式碼: #in

常見排序希爾排序

#include <stdio.h>  #include <stdlib.h>  void ShellSort(int a[], int length)  {      int increment; 

常見排序直接插入排序

#include <stdio.h> void Direct_Insert_Sort(int *Array) {       int i,j,temp;       for(i = 1; i

常見排序簡單選擇排序

#include <stdio.h> void Simple_Select_Sort(int *Array,int length){ int i,j,min,temp; for(i = 0; i < length; i++) { min = i; for(j = i+1; j &l

排序選擇類排序

1.簡單選擇排序 //簡單選擇排序     void SelectSort(int R[],int n)     {        &nbs

排序交換類排序

1.氣泡排序 //氣泡排序 void BubbleSort(int R[],int n) { int i,j; int flag;//在一趟迴圈過程中為發生交換,則代表已經有序 for(i=1;i<=n;i++){