一、Kafka ->logstash ->elasticsearch

   logstash 5.X以上版本不兼容5.x以下版本,因此在升级logstash时会遇到很多坑。首先是配置的变化,可以参考如下配置:

input {

   kafka {

     bootstrap_servers => "XX:9092,YY:9093,ZZ:9094"    变化点:这里监听的是kafka的端口号

     topics => "xxxlog"

     group_id => "elasticconsumer"

     max_partition_fetch_bytes=> "4194304"  处理消息过大的场景

     codec => "json"

   }

}

output {

   elasticsearch {

     hosts => ["XXX:9200"]

     index => "logstash-%{+YYYY-MM-dd}"

     codec => "json"

   }

}

output {

   file {

      path => "/data01/logstash.log"

      flush_interval => 0

   }

}

 完成配置后可以通过如下命令来检测配置文件是否有语法错误:

bin/logstash -t -f config/kafka-logstash-es.conf

另外,elasticsearch 5.X版本的集群安装请参见:http://www.jianshu.com/p/9e3749daeb93

二、elasticsearch数据丢失

通过kibana监控返回的数据时,无意中发现返回的数据存在数据丢失的现象。将input数据保存进elasticsearch的同时,通过写入log日志文件中。通过如下命令查询elasticsearch中保存的数据时,发现数据在保存进elasticsearch的时候就已出现丢失现象:

get  _index/_type/_count?q=monitorId:XXX

get logstash-2017-03-21/logs/_count?q=monitorId:XXX

编写测试配置,将出错的json直接通过屏幕输入:

input {

   stdin {

     codec => json

   }

}

output {

     stdout {

       codec => rubydebug

    }

}

又发现数据可以正常输出。那么问题出在哪一个环节呢?

通过查看elasticsearch中的日志,发现在解析json时系统偶尔会报String_Object 转化异常。是什么原因导致此问题的发生呢?

通过一步步追踪最终发现问题出在dynamic mapping环节。

ES如何对对动态类型字段做mapping的呢?ES在内部对一个index下的type会根据mapping来进行存储,所以要求type中的每个字段类型必须一致。例如对一个User表,如果有个name字段,那么一条user数据中的name为string类型的话,后续所有的user对象中的name都必须为string,否则做index时就会出错。

但是由于一些原因平台的数据在返回时,同一个type下的值,有的为String类型,有的却为Object对象,按照上面的逻辑在进行解析时异常是必然的了。

参见:http://jiangpeng.info/blogs/2014/11/24/elasticsearch-mapping.html

http://www.cnblogs.com/ningskyer/articles/5787702.html

http://blog.arganzheng.me/posts/datatype-in-elasticsearch.html

解决措施:统一平台返回的数据格式,将同一type下字段的值统一转化为String类型。

三、json长度过长elasticsearch存储异常

在解决问题二后发现kibana中依然有数据丢失的情况。分析elasticsearch的日志,发现平台返回的json长度过长导致elasticsearch在进行数据存储时异常。

那么针对此问题需要如何进行处理呢?下面给出实际的处理方案仅供参考:

A.logstash配置

input {

   kafka {

      bootstrap_servers =>"XXX:9092,YYY:9093,ZZZ:9094"

      topics => "klog"

      group_id => "elasticconsummer"

      codec => "json"

   }

  output {

     elasticsearch {

        hosts => ["XXX:9200","YYY:9200"]

        index => "logstash-%{+YYYY-MM-dd}"

        codec => "json"

        manage_template => true

        template_overwrite => true

        template_name => "kTemplate"

        template => "/data01/xxx.json"

     }

  }

 output {

    file {

        path =>"data01/logstash.log"

        flush_interval =>0

    }

 }

}

B.模板的配置

{

  "template" : "logstash*",

  "settings" : {

    "index.number_of_shards" : 5,

    "number_of_replicas" : 1,

    "index.refresh_interval" : "60s"

  },

  "mappings" : {

    "_default_" : {

       "_all" : {

               "enabled" : true

        },

       "dynamic_templates" : [

         {

         "string_fields" : {

           "match" : "*",

           "match_mapping_type" : "string",

           "mapping" : {

                "type" : "string",

                "index" : "not_analyzed",

                "omit_norms" : true,

                "doc_values": true,

               "fields" : {

                   "raw" : {

                        "type": "string",

                         "index" : "not_analyzed",

                         "ignore_above" : 256,

                         "doc_values": true

                 }

               }

           }

         }

       } ],

       "properties" : {

           //定义长度

           "callMethodResult": {

              "type": "string",

              "index": "not_analyzed"

              "ignore_above" : 256

            }

         }

       }

    }

  }

}

参见:http://m.blog.csdn.net/article/details?id=50823494

模板的配置参见:https://github.com/chenryn/ELKstack-guide-cn/blob/master/logstash/plugins/output/elasticsearch.md

其它坑请参见:http://www.jianshu.com/p/fa31f38d241e

四、离线环境下Kibana加载慢问题

在离线环境下发现kibana加载比较慢,跟踪定位后发现系统在离线环境上也会加载http://tiles.elastic.co/v2/manifest?my_app_version=5.2.0

将/kibana/src/server/config/schema.js中的manifestServiceUrl中的上述地址修改为http://localhost/即可

五、Kibana中文乱码

在实际使用过程中发现应用布署到生产环境后,在Kibana中的中文日志有乱码。将logstash采集的数据一份写入elasticsearch,另一份写入log,发现日志在写入log时已经是乱码。如果想要中文没有乱码,那么日志文件应该是UTF-8格式。我们可以用file命令查看日志的生成格式,如下:

[xxx@localhost logs]$ file app.log

app.log: UTF-8 Unicode English text, with very long lines

log4j的配置参考如下:

<appender name="FILE" class="org.apache.log4j.DailyRollingFileAppender">

<param name="File" value="./logs/app.log"/>

 <param name="Encoding" value="UTF-8"/>

 <param name="DatePattern" value="'.'yyyy-MM-dd"/>

但最终定位生产环境出现此问题的原因是没有指定tomcat的编码格式.

六、logstash TCP指定端口监听

通过./logstash-plugin list 查看logstash安装的插件

input {

   tcp {

      host => "XXX"

      port  =>  "5000"

      mode => "server"

      type => "microwiki"

      add_field => {

                  "name"  => "Routh"

      }

   }

}

output {

   file {

       path =>  "/data01/XXX"

       flush_interval => 0

   }

}

定位问题参考:http://10452483.blog.51cto.com/10442483/1732225

ELK 5.X版本遇到的坑的更多相关文章

  1. IOS低版本遇到了坑不知道你遇到了没

    拿着项目给客户测试,客户那边三个人俩人水果手机是ios8以下版本,结果导致```(恭喜,坑出现!)总不能说老总!"您把版本升级到ios9 吧!

  2. Flink升级到1.4版本遇到的坑

    Flink 1.4没出来以前,一直使用Flink 1.3.2,感觉还算稳定,最近将运行环境升级到1.4,遇到了一些坑: 1.需要将可运行程序,基于1.4.0重新编译一次 2.对比了一下flink-co ...

  3. ELK 处理 Percona 审计日志(填坑)

    前提 1.有强烈的审计需求. 2.能允许10%-15%左右的性能损失. 3.有强烈的对数据库操作实时查看需求(一般都是为了领导要求). Logstash 比较坑的配置   1 2 3 4 5 6 7 ...

  4. ELK 6.X 版本下xpack破解

    ELK 6.2.2 版本下xpack破解 1.下载xpack 先下载最新版本的 x-pack,里面包含了 es,kibana,logstash 新版本的x-pack 下载地址:https://arti ...

  5. .Net版本依赖之坑引发的搜查

    前言 今天上午,一个客户反馈XX消息没有推送到第三方链接.于是我查看了推送日志列表,并没有今天的.接着登录服务器查询文件日志,看到了记录.我们的代码步骤是消息先推送到消息队列,消费消息队列时,记录文件 ...

  6. 升级cocoapods1.1.0版本遇到的坑

    先容我吐槽两句, 最近写Swfit3.0, 要用到一些框架, 然后就用cocoapods嘛, 结果说要cocoapods1.1.0版本才行, 而自己的是cocoapods1.0.1版本的, 所以就想着 ...

  7. 使用Percona MySQL 5.7版本遇到的坑

    监控DB由于使用的TokuDB引擎,因此选择使用Percona MySQL 5.7版本,在使用过程中遇到了比较多的坑,在这里做一下简单的记录,希望对广大DBA有帮助. load文件飙升导致的DB雪崩 ...

  8. Spring Cloud 升级最新 Finchley 版本,踩坑指南!

    https://blog.csdn.net/youanyyou/article/details/81530240 Spring Cloud 升级最新 Finchley 版本,踩了所有的坑! 2018年 ...

  9. win10 安装tensorflow2.0 GPU版本遇到的坑

          背景:我的机器上tensorflow 1.14 & 2.0,这俩版本都有,之前都是用1.14版本,今天试一下2.0尝尝鲜, 结果就掉坑去了 把CUDA10.1 和 cudnn 安装 ...

随机推荐

  1. (纪录片)科学的故事:权力、证据与激情 The Story Of Science: Power, Proof And Passion

    简介: 导演: 纳特·沙曼编剧: 纳特·沙曼主演: Michael J. Mosley类型: 纪录片官方网站: www.bbc.co.uk/programmes/b00s9mms制片国家/地区: 英国 ...

  2. Activity设置为对话框属性时(Theme.Dialog)时,改变其在屏幕中的位置

    如果有需要要将Activity变成一个窗口形式(在Manifest.xml中的activity标签设置android:theme="@android:style/Theme.Dialog&q ...

  3. Solidworks如何替换工程图参考零件

    不要在左侧树形图右击修改   而是要在右侧主视图上右击,替换模型   左侧浏览找到新的零件,然后打开   替换完成之后,会有一些尺寸变成黄色,只需要改动黄色部分即可,不需要每个尺寸重新标注    

  4. Linux Centos7中MySql安装

    (1)     安装Mysql5.7: 执行命令:rpm -ivh http://repo.mysql.com/yum/mysql-5.7-community/el/7/x86_64/mysql-co ...

  5. Python两个变量的值进行交换的方法

    Python两个变量的值进行交换的方法 使用第三方变量: '''这是第一种赋值方法,采用第三方变量''' c = a a = b b = c 使用两个变量: '''使用两个变量''' a = a+b ...

  6. Webwork【08】结合实战简析Controller 配置

    虽然现在 MVC 框架层出不穷,但做为 Struts 前身的 webwork. 其经典程度不亚于贝利之于足球,双 11 之于淘宝特卖. 本篇将结合 webwork controller 配置文件 xw ...

  7. J2EE开发之三种项目架构

    转载请注明原文地址:http://www.cnblogs.com/ygj0930/p/6285069.html 在我们开发项目时,一般都要先划分好哪些是与用户交互的,哪些用来处理请求/数据等等,这些过 ...

  8. OpenERP7测试手记之 - EMail配置 转

    转自http://blog.sina.com.cn/s/blog_6d5929a00101b74y.html 在OpenERP中进行Email配置要注意以下几点: 1.如下面两个图,公司的“电子邮件” ...

  9. Dynamic Lotusscript

    Introduction This short article gives an introduction to the underrated Execute method that is avail ...

  10. Leveldb 使用说明文档

    Leveldb 使用说明文档 原作者:Jeff Dean, Sanjay Ghemawat 翻译:乌合之众solym@sohu.com 英文原文地址https://rawgit.com/google/ ...