elasticsearch - 无法将多行事件从Filebeat S3输入推送到Logstash-6ren

elasticsearch - 无法将多行事件从Filebeat S3输入推送到Logstash

转载作者：行者123 更新时间：2023-12-02 23:43:19

24

4

我正在ELK上进行PoC，遇到了一个问题。我看过关于describe.elastic.co和StackOverflow的许多主题，但似乎没有任何帮助。
我试图通过Filebeat(使用S3输入)配置多行事件，并在Logstash中使用它们。我面临的问题是，即使在Filebeat中设置了多行配置之后，我仍然将Stacktrace的行视为Logstash中的单个事件。
由于Logstash接收到的不是堆栈跟踪的行而是单个行，因此最终导致_grokparsefailure，这是完全可以理解的，因为FB在将这些行发送到Logstash之前应该将这些行合并到同一事件中。
其他单行事件有望正常运行，我能够在Kibana上对其进行可视化。
filebeat.yml:

filebeat.inputs:

  - type: s3
    queue_url: https://sqs.aaaaa.amazonaws.com/xxxxxxxx/zzzzzz
    visibility_timeout: 300s
    multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
    multiline.negate: true
    multiline.match: after

Logstash配置:

input {
  beats {
    port => 5044
    host => "0.0.0.0"
  }
}

filter {
  grok {
    match => {"message" => "%{TIMESTAMP_ISO8601:timestamp} %{GREEDYDATA:logType} %{LOGLEVEL:logLevel}%{SPACE}\[%{GREEDYDATA:key1}\] \[%{GREEDYDATA:key2}\] \[%{GREEDYDATA:key3}\] \[%{GREEDYDATA:sourceIP}\] %{GREEDYDATA:message}"}
    overwrite => [ "message" ]
  } 

 date {
    match => ["timestamp", "yyyy-MM-dd HH:mm:ss,SSS"]
  }
}

这是两个示例日志语句，其中第二个我试图合并为一个事件:

2020-08-18 00:30:52,481 detailed_logs ERROR    [abc] [xyz] [def] [127.0.0.1] Exception raised. Trace:
2020-08-18 00:30:52,483 detailed_logs ERROR    Traceback (most recent call last):
  File "/Users/vvv/Documents/ttt.py", line 93, in get
    x = y.perform(abc)
  File "/Users/vvv/Documents/ttt.py", line 283, in operate
    raise exception
  File "/Users/vvv/Documents/ttt.py", line 169, in operate
    d["abb"] = n["xy"]
AttributeError: 'model' object has no attribute 'create1d_on'

我的直觉告诉我，Filebeat S3输入可能不支持多行，因为我无法在 official doc中找到相同的提及，而其 Log input counterpart显然提到了相同的提及。但是话又说回来，我可能是错的。
不胜感激朝着正确的方向前进。

最佳答案

我正在回答我自己的问题，并以说这不是对我提出的问题的有效答案作为开头，但是这是解决了我的迫切要求并已部署的解决方法。
由于用于S3输入的Filebeat多行不能按预期方式工作，并且Logstash多行编解码器不是Elastic强烈推荐的(标记为IMPORTANT here的段落)，我最终通过使用以下命令创建一个实用程序来平整整个应用程序的堆栈跟踪目的的近似结构:

dictionary = {}
counter = 0

for line in lines:
    if line and line.strip():
        dictionary[counter] = line.strip()
        counter += 1

return json.dumps(dictionary)

无论何时使用 traceback.format_exc()将异常转储到日志中，该跟踪都将作为参数传递给上述实用程序，然后记录为ERROR。
当然，在整个应用程序范围内进行更改都需要一定的人工，但是现在，根据要求，当在Kibana中查看时，以下构造将作为单个事件出现:

{"0": "Traceback (most recent call last):", "1": "File "/Users/vvv/Documents/ttt.py", line 93, in get", "2": "x = y.perform(abc)", "3": "File "/Users/vvv/Documents/ttt.py", line 283, in operate", "4": "raise exception", "5": "File "/Users/vvv/Documents/ttt.py", line 169, in operate", "6": "d["abb"] = n["xy"]", "7": "AttributeError: 'model' object has no attribute 'create1d_on'"}

任何反馈，建议和建议都非常欢迎。

关于elasticsearch - 无法将多行事件从Filebeat S3输入推送到Logstash，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/63469076/

24

4

0

文章推荐： qt - 可以使用“打开文件”对话框选择文件夹吗？

文章推荐： python-3.x - keras LSTM 模型中的尺寸不匹配

文章推荐： powershell - 拆分值返回

Mercurial 推/拉详细输出
当我推/拉存储库时，是否可以详细输出到底发生了什么？目前，我有一个大型存储库，正在将其推送到服务器，大约 15 分钟后。或者这样，它给了我一个错误，但没有告诉我它在这 15 分钟内做了什么。最佳答案
html - 推/拉多行列
我不知道我的方法是否有意义，但是，我需要实现如下图的布局: 现在，我只写一个并用其中的一列表示每个区域，例如 . 没有黄色区域，这工作正常: green red blue
css - 推/拉类在网格系统中做什么？
当我查看许多 CSS 网格系统和框架时，它们通常具有标准的列和行设置以及百分比宽度。例如这样的事情: 标准网格列: .col-10 { width: 83.33333%; width: cal
git子模块提交/推/pull
我想使用 git 子模块。我需要采取的步骤将我的更改推送到我的项目是 add/commit/push from submodule directory add/commit/push from pa
站长平台对百度流量与关键词工具进行重大升级：推“关键词影响力”
以下为百度站长平台的公告全文：结合站长对于关键词数据分析的需求，站长平台对流量与关键词工具进行了升级，推出(“关键词影响力”）这一全新概念。关键词影响力算法复杂，涵盖该关键词下百度搜索可以为
wxwidgets - (推+下拉)按钮wxWidgets
我需要一个具有普通按钮和下拉按钮的控件。例如类似的控件在 wxRibbonButtonBar 中可用，我无法在简单的 wxPanel 中使用它。最佳答案我实现了 SplitButton，它看起
svn - 如何将集市分支导出到新的颠覆存储库，然后从中拉/推
我一直在做一个项目，使用 Bazaar 作为版本控制系统。现在我必须和离岸人员一起工作，而他们只想使用 SVN。我有什么: 我的 bazaar 分支及其文件和修订版。一个全新的 subversio
data-structures - 推/拉数据流模型的优缺点是什么？
我一直在开发数据流/图表风格的内部 DSP 应用程序(Java 带有 Groovy/Jython/JRuby 的钩子(Hook)，通过 OSGi 的插件，大量的 JNI)，类似于纯数据和 simuli
assembly - THUMB 推/弹出指令
我正在尝试使用 THUMB 指令创建一个阶乘方法，我基本上做到了。我只有一个关于 PUSH/POP 操作码的问题:如果我使用 push 将 r0 的值存储在堆栈中(所以 push {r0} )，我可
ZeroMQ/ZMQ 推/拉模式的实用性
在尝试 ZeroMQ Push/Pull (他们称之为 Pipeline)套接字类型时，我很难理解这个图案。它被称为“负载均衡器”。假设单个服务器将任务发送给多个工作人员，推/拉将在所有客户端之间平
callback - Firebase - 推()回调
有什么方法可以使用 push() 方法找出我的数据何时保存在数据库中？我写了下面的代码，但它多次保存数据...... db.ref('news').push(opts).then(() => {
authentication - github - 推/拉时要求用户名和密码
我有这个问题，每次推或拉时我都必须把它放进去。我认为这是新的。有什么想法吗？最佳答案您可能正在使用 https 网址。切换到 ssh 并确保您的 key 设置正确(如果您的密码短语为空)，则不必输
assembly - ASM - 推/弹出
为什么当您将一个值压入堆栈时，ESP 寄存器会减少(而不是增加)，而当您弹出一个值时，ESP 寄存器会增加(而不是减少)？在这一点上，这对我来说是违反直觉的。最佳答案那是因为堆栈是从上到下“增长”
callback - Firebase - 推()回调
有什么方法可以使用 push() 方法找出我的数据何时保存在数据库中？我写了下面的代码，但它多次保存数据...... db.ref('news').push(opts).then(() => {
push - ZeroMQ 推/拉模式
我决定编写一个测试代码来查看 pusher - many pullers bundle 是如何工作的，我的怀疑成真了。拉取器按照连接的顺序接收消息，例如第一个消息由第一个连接的拉取器接收，第二个由第
javascript - 将新数字“推”入对象数组
我在 CSV 文件中存储了一长串日期。我已经成功地使用 d3.js 加载了这个数据集。现在我想向此数据集添加另一列，其中包含列表中每个日期的随机数。我相信此数据集已作为对象数组加载。所以我正在使用下
C++ vector 推/弹出
我一直在寻找解决方案。不使用 c++11。 for(int a = 1; a < team1.chan; a++) { team1.nums.push_back(ppb.back())
android - 如何在布局中滑动(推) subview ？
我打算在布局中构建带有滑动 subview 的 UI。 +--------------+ +--------------+ +--------------+ | view1
html - 推/拉 - 基础
Title 在小屏幕上，我首先需要标题，然后是文本字段，但在中等以上的屏幕上，我需要相反的方式 - 我已经尝试过推和拉，但它们无法工作 - 有什么想法吗？最佳答案根据 Swa
c++ - ZeroMQ 推/拉
zmq 的某些部分未以可预测的方式运行。我正在使用 VS2013 和 zmq 3.2.4。为了不在我的 pubsub 框架中“丢失”消息 [旁白:我认为这是一个设计缺陷。我应该能够首先启动我的订阅者

首页

博学

6Ren·AI

商城

elasticsearch - 无法将多行事件从Filebeat S3输入推送到Logstash