我们在做日志处理时,往往会从多个源服务器收集日志,然后在一个(或一组)中心服务器做日志聚合分析。

源服务器上的日志可能属于同一应用类型,也可能属于不同应用类型。我们可能需要在聚合服务器上对这些不同类型的日志分类处理,一个实现方法就是在Fluentd内部重新给这些日志打tag,然后重新路由到合适的output插件进行输出。

rewrite_tag_filter就是一个提供这种给日志重新打tag的插件。需要说明的是,从其命名来看,rewrite_tag_filter是一个filter,而实际上它是一个output插件。因为Fluentd的filter插件并不允许重写tag。

  1. 基本原理

    rewrite_tag_filter可通过定义一系列的规则(rule)来实现日志的匹配和tag重写。

    这些规则会按照其定义顺序逐一对日志进行匹配,一旦日志符合某个规则,插件会使用该规则定义的方法重写日志的tag,并将重写后的日志事件再次发送到Fluentd路由中,从而实现对输入日志的分类处理。

举一个简单的例子:

# Configuration

<match app.component>

  @type rewrite_tag_filter

  <rule>

    key message

    pattern /^(w+)$/

    tag $1.${tag}

  </rule>

</match>

在这个例子中,日志的原tag为app.component。

rewrite_tag_filter会对日志记录的message字段进行匹配测试,pattern定义了匹配规则,这里是匹配message中的每个单词,然后去第一个单词,将其插入到原tag之前。

重写效果如下所示:

+------------------------------------------+        +------------------------------------------------+

| original record                          |        | rewritten tag record                           |

|------------------------------------------|        |------------------------------------------------|

| app.component {"message":"[info]: ..."}  | +----> | info.app.component {"message":"[info]: ..."}   |

| app.component {"message":"[warn]: ..."}  | +----> | warn.app.component {"message":"[warn]: ..."}   |

| app.component {"message":"[crit]: ..."}  | +----> | crit.app.component {"message":"[crit]: ..."}   |

| app.component {"message":"[alert]: ..."} | +----> | alert.app.component {"message":"[alert]: ..."} |

+------------------------------------------+        +------------------------------------------------+
  1. 安装说明

    td-agent v3.0.1或更高版本已经内置了rewrite_tag_filter。

    较低版本的td-agent可以通过以下命令进行安装:
# for td-agent2 (with fluentd v0.12)

$ sudo td-agent-gem install fluent-plugin-rewrite-tag-filter -v 1.6.0

# for td-agent3 (with fluentd v0.14)

$ sudo td-agent-gem install fluent-plugin-rewrite-tag-filter
  1. 配置示例

    一个好的配置设计原则是:先过滤掉不需要的日志,然后再处理需要重写的日志。
<source>

  @type tail

  path /var/log/httpd/access_log

  <parse>

    @type apache2

  </parse>

  tag td.apache.access

  pos_file /var/log/td-agent/apache_access.pos

</source>

<match td.apache.access>

  @type rewrite_tag_filter

  capitalize_regex_backreference yes

  <rule>

    key     path

    pattern /\.(gif|jpe?g|png|pdf|zip)$/

    tag     clear

  </rule>

  <rule>

    key     status

    pattern /^200$/

    tag     clear

    invert  true

  </rule>

  <rule>

    key     domain

    pattern /^.+\.com$/

    tag     clear

    invert  true

  </rule>

  <rule>

    key     domain

    pattern /^maps\.example\.com$/

    tag     site.ExampleMaps

  </rule>

  <rule>

    key     domain

    pattern /^news\.example\.com$/

    tag     site.ExampleNews

  </rule>

  # it is also supported regexp back reference.

  <rule>

    key     domain

    pattern /^(mail)\.(example)\.com$/

    tag     site.$2$1

  </rule>

  <rule>

    key     domain

    pattern /.+/

    tag     site.unmatched

  </rule>

</match>

<match site.*>

  @type mongo

  host localhost

  database apache_access

  remove_tag_prefix site

  tag_mapped

  capped

  capped_size 100m

</match>

<match clear>

  @type null

</match>

这个例子中,rewrite_tag_filter首先过滤掉了Apache中图片、压缩包等静态文件的请求日志,然后对日志中的path、status、domain这些字段依次进行正则匹配:

第二个rule用于匹配响应代码为200的记录,通过invert将非200的请求记录过滤掉;

第三个rule用于匹配.com结尾的域名,通过invert将非.com域名请求记录过滤掉;

第四五六个rule用于分类处理不同前缀的域名,分别重写其tag为site.ExampleMaps、site.ExampleNews、site.ExampleMail;

最后一个rule用于处理其他域名,统一重写tag为site.unmatched。

被过滤掉的日志,其tag被重写为clear,并最后丢弃(输出到null)。

其他被重写tag的日志会按照其tag名称被分别写入MongoDB的不同collections中。

  1. 参数说明
  • capitalize_regex_backreference 是否大写正则匹配后项引用项的首字母。默认false,不大写。
  • <rule>配置项 设置匹配及重写规则。

    key:指定日志记录中的匹配字段

    pattern:匹配规则使用的正则表达式

    tag:新的tag。

    支持正则表达式的后向引用,参加上例中第六个rule。

    支持以下占位符:

    • ${tag}__TAG__:原tag
    • ${tag_parts[n]}__TAG_PARTS[n]__:取原tag的第n个字段
    • ${hostname}__HOSTNAME__:主机名

      invert:默认为false。
    • true表示若匹配失败,则重写tag;
    • false表示匹配成功时才重写tag。

      占位符参数:

      • remove_tag_prefix:移除原tag中的前缀
      • remove_tag_regexp:移除原tag中的正则匹配部分
      • hostname_command:设置hostname使用的命令。

        默认使用hostname获取完整的主机名。

        可使用hostname -s获取较短的主机名。
  1. 场景举例
# built-in TCP input

<source>

  @type forward

</source>

# Filter record like mod_rewrite with fluent-plugin-rewrite-tag-filter

<match apache.access>

  @type rewrite_tag_filter

  <rule>

    key     status

    pattern /^(?!404)$/

    tag     clear

  </rule>

  <rule>

    key     path

    pattern /.+/

    tag     mongo.apache.access.error404

  </rule>

</match>

# Store deadlinks log into mongoDB

<match mongo.apache.access.error404>

  @type        mongo

  host        10.100.1.30

  database    apache

  collection  deadlinks

  capped

  capped_size 50m

</match>

# Clear tag

<match clear>

  @type null

</match>

这个配置使用in_forward收集Apache的访问日志。通过设置两个rule,提取日志中的http 404请求记录,将这些请求的url写入MongoDB,这样就可以方便地统计网站中存在的死链。

  1. 常见问题

    使用rewrite_tag_filter经常遇到的情况是,重写tag导致日志无法输出。

    比如:
<match app.**>

  @type rewrite_tag_filter

  <rule>

    key     level

    pattern /(.+)/

    tag     app.$1

  </rule>

</match>

<match app.**>

  @type forward

  # ...

</match>

这个片段就会导致日志无法输出。

仔细看重写规则可以发现,以app开头的tag被重写后仍然是以app为开头。这导致了新事件重新进入第一个<match>,发生了死循环。

所以重新tag时需要谨慎一些,避免发生此类情况。

21. Fluentd输出插件:rewrite_tag_filter用法详解的更多相关文章

  1. golang格式化输出-fmt包用法详解

    golang格式化输出-fmt包用法详解 注意:我在这里给出golang查询关于包的使用的地址:https://godoc.org    声明: 此片文章并非原创,大多数内容都是来自:https:// ...

  2. 21.Python算术运算符及用法详解

    算术运算符是处理四则运算的符号,在数字的处理中应用得最多.Python 支持所有的基本算术运算符,如表 1 所示. 表 1 Python常用算术运算符 运算符 说明 实例 结果 + 加 12.45 + ...

  3. Vue插件编写、用法详解(附demo)

    Vue插件编写.用法详解(附demo) 1.概述 简单来说,插件就是指对Vue的功能的增强或补充. 比如说,让你在每个单页面的组件里,都可以调用某个方法,或者共享使用某个变量,或者在某个方法之前执行一 ...

  4. Vue1.0用法详解

    Vue.js 不支持 IE8 及其以下版本,因为 Vue.js 使用了 IE8 不能实现的 ECMAScript 5 特性. 开发环境部署 可参考使用 vue+webpack. 基本用法 1 2 3 ...

  5. JS逗号运算符的用法详解

    逗号运算符的用法详解 注意: 一.由于目前正在功读JavaScript技术,所以这里拿JavaScript为例.你可以自己在PHP中试试. 二.JavaScript语法比较复杂,因此拿JavaScri ...

  6. jQuery 事件用法详解

    jQuery 事件用法详解 目录 简介 实现原理 事件操作 绑定事件 解除事件 触发事件 事件委托 事件操作进阶 阻止默认事件 阻止事件传播 阻止事件向后执行 命名空间 自定义事件 事件队列 jque ...

  7. linux dmesg命令参数及用法详解(linux显示开机信息命令)

    linux dmesg命令参数及用法详解(linux显示开机信息命令) http://blog.csdn.net/zhongyhc/article/details/8909905 功能说明:显示开机信 ...

  8. SQL中CONVERT()函数用法详解

    SQL中CONVERT函数格式: CONVERT(data_type,expression[,style]) 参数说明: expression 是任何有效的 Microsoft® SQL Server ...

  9. JavaScript中return的用法详解

    JavaScript中return的用法详解 最近,跟身边学前端的朋友了解,有很多人对函数中的this的用法和指向问题比较模糊,这里写一篇博客跟大家一起探讨一下this的用法和指向性问题. 1定义 t ...

随机推荐

  1. Test_day01月_总结

    1)Object是所有类的超类,在java.lang包中 2)标识符命名规则 3)八种基本数据类型有哪些?每种类型所占的字节数? 整数直接量默认为int类型 浮点数直接量默认为double类型 4)字 ...

  2. jdbc 12: 悲观锁

    jdbc连接mysql,简单演示行级锁 通过debug模式进行演示 在Test1程序设置断点,让程序1,查询并锁定数据,且程序不执行完(此时停在debug断点处) 这时启动Test2程序,去修改已经被 ...

  3. Random的概述和基本使用与生成指定范围的随机数

    Random类用来生成随机数字,使用起来需要三个步骤 1.导包 import java.util.Random; 2.创建 Random random = new Random();//小括号中留空即 ...

  4. python--函数参数传递

    1. 调用函数时,实参会传递给形参,叫做参数传递. 2. 根据实际参数的类型不同,函数参数的传递方式可分为 2 种,分别为值传递和引用(地址)传递: 值传递:传递的实参类型为不可变类型(字符串.数字. ...

  5. 使用JDK的同步容器时,应该避免那些坑?

    摘要:在使用JDK中的同步容器时,应该尽量避免哪些坑 本文分享自华为云社区<[高并发]亿级流量高并发秒杀系统商品"超卖"了,只因使用的JDK同步容器中存在这两个巨大的坑!!( ...

  6. rsync 文件备份

    # rsync # 实现文件的备份. # 备份位置可以是当前主机,也可以是远程主机. # rsync实现了完全备份和增量备份 # 可以做到:1.将本地主机的文件复制到另一个位置(本地.远程). # 2 ...

  7. Odoo14 给模块/应用加小图标

    # apps中的图标是固定路劲: static/description/icon.png # 主页图标是通过你的主menuitem的web_icon来设置的: <menuitem id=&quo ...

  8. cad工具快速选择特性里面是空的解决方法

    工具-选项-文件中,支持文件搜索路径中 添加,再浏览,找到"C:\Program Files\Common Files\Autodesk Shared"确定就OK了.

  9. Ray类定义

    定义光线,书中已经有原理. 类声明: #ifndef __RAY_HEADER__ #define __RAY_HEADER__ #include "geometry.h" cla ...

  10. 总结-一本通提高篇&算竞进阶记录

    当一个人看见星空,就再无法忍受黑暗 为了点亮渐渐沉寂的星空 不想就这样退役 一定不会鸽の坑 . 一本通提高篇 . 算竞进阶 . CDQ & 整体二分 . 平衡树 . LCT . 字符串 . 随 ...