一年前写过logstash根据日志关键词报警 ,今年重温一下。并且记录一下遇到的问题解决办法。

Java错误日志一般出现一大坨,如下图:

所以我们的filebeat日志收集器就要改成多行匹配模式,以日期开头的归为一行。

multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'

multiline.negate: true

multiline.match: after

然后我们查看kibana时候就成一行了

请注意上图,我们的kibana里数据变精简了,有我们想要的hostip来源,tags标签,去掉了一些version,agent信息。

是通过filebeat的配置来操作的,新增hostip,新增tags标签:

fields_under_root: true

  fields:

    hostip: 10.0.2.241

tags: ["merchant_info"]

去掉version,agent等没用的信息

- drop_fields:

        fields: ["log","input.type","host","agent","ecs"]

然后我们通过logstash-output-exec去发送通知

if [message]  =~ /(AGENT_PROFIT_ERROR|fail)/ and "_info" not in [tags][0] {

        exec {

            command => "/usr/bin/python3 weixin3_news.py %{hostip} %{[tags][0]} \"%{message}\""

        }

  }

  

我们的\"%{message}\"参数是不能被正常识别的,发出来的报警如下

这时候就要修改logstash.yml,启用特殊符号转译,添加多行匹配。

config.support_escapes: true

ps:蛋疼的问题一直以为是我shell脚本写的太烂,改成Python后依然如此。最后不得不请出百度搜索了,搜到此文章

报警成功:

最后贴一个自己写的清理elasticsearch数据脚本,脚本中三个方法分别应对不同的数据格式。

#!/bin/bash

#此脚本用于删除es历史数据

delrange(){

        #删除的索引项目

        index_name=("auditbeat-hxtpayment" "auditbeat-hxtpay" "go-mobileposp")

        #根据哪一列查找关键词

        daycolumn="@timestamp"

        #删除几条之前的数据

        savedays=5

        #日期格式

        format_day="%Y-%m-%d"

        #计算savedays之前的日期

        sevendayago=`date -d "-${savedays} day " +${format_day}`

        for index in ${index_name[@]}

        do

        curl --user elastic:你的密码 -X POST "http://192.168.80.11:9200/${index}/_delete_by_query" -H 'Content-Type: application/json' -d'

        {

                "query": {

                        "range": {

                                "'"$daycolumn"'": {

                                        "lt": "'"$sevendayago"'"

                                }

                        }

                }

        }

        '

        done

}

#删除es几天前的数据

delday(){

        #日期格式

        format_day="%Y.%m.%d"

        #删除几天之前的数据

        savedays=15

        #计算savedays之前的日期

        sevendayago=`date -d "-${savedays} day " +${format_day}`

        for index in `curl -XGET "http://10.0.2.245:9200/_cat/indices" |awk '{print $3}'|grep "$sevendayago" |grep -v '.monitoring'|sort`

        do

                #echo "开始删除 ${index%-*}-${sevendayago} 索引"

                #curl -XDELETE http://10.0.2.245:9200/${index%-*}-${sevendayago}

                echo "开始删除 ${index} 索引"

                curl -XDELETE http://10.0.2.245:9200/${index}

        done

}

delmonth(){

        #日期格式

        format_day="%Y.%m"

        #删除几天之前的数据

        savedays=90

        #计算savedays之前的日期

        sevenmonago=`date -d "-${savedays} day " +${format_day}`

        index_month=("centos" "cisco")

        #删除几个月前

        for index in ${index_month[@]}

        do

                curl --user elastic:你的密码 -XDELETE http://192.168.80.11:9200/${index}-${sevenmonago}

        done

}

#删除单个

#curl -XDELETE 'http://192.169.1.666:9200/index

#删除多个

#curl -XDELETE 'http://192.169.1.666:9200/index_one,index_two

delday

  

elk监听Java日志发送微信报警的更多相关文章

  1. ELK基于ElastAlert实现日志的微信报警

    文章转载自:https://mp.weixin.qq.com/s/W9b28CFBEmxBPz5bGd1-hw 教程pdf文件下载地址 https://files.cnblogs.com/files/ ...

  2. ELK基于ElastAlert实现日志的微信报警 ---docker环境

    参考网址:https://github.com/anjia0532/elastalert-docker 1.拉取镜像: docker pull anjia0532/elastalert-docker: ...

  3. Flume 概述+环境配置+监听Hive日志信息并写入到hdfs

    Flume介绍Flume是Apache基金会组织的一个提供的高可用的,高可靠的,分布式的海量日志采集.聚合和传输的系统,Flume支持在日志系统中定制各类数据发送方,用于收集数据:同时,Flume提供 ...

  4. 监听当点击微信等app的返回按钮或者浏览器的上一页或后退按钮的事件

    在实际的应用中,我们常常需要实现在移动app和浏览器中点击返回.后退.上一页等按钮实现自己的关闭页面.调整到指定页面或执行一些其它操作的 需求,那在代码中怎样监听当点击微信.支付宝.百度糯米.百度钱包 ...

  5. 解决Fiddler不能监听Java HttpURLConnection请求的方法

    在默认情况下,Fiddler不能监听Java HttpURLConnection请求.究其原因,Java的网络通信协议栈可能浏览器的通信协议栈略有区别,Fiddler监听Http请求的原理是 在应用程 ...

  6. 使用Fiddler监听java HttpURLConnection请求

    使用Fiddler监听java HttpURLConnection请求

  7. ELK之收集Java日志、通过TCP收集日志

    1.Java日志收集 使用codec的multiline插件实现多行匹配,这是一个可以将多行进行合并的插件,而且可以使用what指定将匹配到的行与前面的行合并还是和后面的行合并. 语法示例: inpu ...

  8. Windows平台下Oracle 11g R2监听文件日志过大,造成客户端无法连接的问题处理

    近期部署在生产环境的应用突然无法访问,查看应用日志发现无法获取数据库连接. SystemErr R Caused by: oracle.net.ns.NetException: The Network ...

  9. phalcon: plugin 结合Manager事件管理、dispatcher调度控制器 监听sql日志记录或其他拦截出来

    可能用到的类 phalcon\mvc\use\plugin Phalcon\Mvc\Dispatcher as MvcDispatcher Phalcon\Events\Manager as Even ...

随机推荐

  1. 移动端H5选择本地图片

    移动端H5选择本地图片 html://input<input type="file" accept="image/*" capture="cam ...

  2. Android WebView优化

    1.展示webview的activity可以另开一个进程,这样就能和我们app的主进程分开了,即使webview产生了oom崩溃等问题也不会影响到主程序,如何实现呢,其实很简单,在androidman ...

  3. 【刷题-LeetCode】240. Search a 2D Matrix II

    Search a 2D Matrix II Write an efficient algorithm that searches for a value in an m x n matrix. Thi ...

  4. NIO-java.nio.ByteBuffer中flip、rewind、clear方法的区别

    Java NIO中的Buffer用于和NIO通道进行交互.如你所知,数据是从通道读入缓冲区,从缓冲区写入到通道中的. 缓冲区本质上是一块可以写入数据,然后可以从中读取数据的内存.这块内存被包装成NIO ...

  5. POXSIX之信号量

    #include<stdio.h> #include<semaphore.h> #include<fcntl.h> #include<stdlib.h> ...

  6. golang中将函数当做函数参数使用

    package main import ( "fmt" "strings" ) // 使用type关键字让函数变成一个自定义类型 type caseFunc f ...

  7. 用python设计猜大小的游戏

    import random def roll_dice(numbers = 3,points = None): print("------摇骰子------") if points ...

  8. rm误操作 which查看命令存放路径

    目录 一:rm误操作 which查看命令存放路径 一:rm误操作 which查看命令存放路径 解决rm命令误操作 让别人使用不了自己的rm命令 将rm命令改一个名称 mv rm abc 查看命令存放路 ...

  9. python29day

    内容回顾 网络编程 概念 B/S C/S架构 B/S browser server C/S client 装客户端使用的 server远程服务器的 osi七层协议 今日内容 tcp协议的编程 如何在连 ...

  10. 1.Flink实时项目前期准备

    1.日志生成项目 日志生成机器:hadoop101 jar包:mock-log-0.0.1-SNAPSHOT.jar gmall_mock ​ |----mock_common ​ |----mock ...