我们在做日志处理时,往往会从多个源服务器收集日志,然后在一个(或一组)中心服务器做日志聚合分析。

源服务器上的日志可能属于同一应用类型,也可能属于不同应用类型。我们可能需要在聚合服务器上对这些不同类型的日志分类处理,一个实现方法就是在Fluentd内部重新给这些日志打tag,然后重新路由到合适的output插件进行输出。

rewrite_tag_filter就是一个提供这种给日志重新打tag的插件。需要说明的是,从其命名来看,rewrite_tag_filter是一个filter,而实际上它是一个output插件。因为Fluentd的filter插件并不允许重写tag。

  1. 基本原理

    rewrite_tag_filter可通过定义一系列的规则(rule)来实现日志的匹配和tag重写。

    这些规则会按照其定义顺序逐一对日志进行匹配,一旦日志符合某个规则,插件会使用该规则定义的方法重写日志的tag,并将重写后的日志事件再次发送到Fluentd路由中,从而实现对输入日志的分类处理。

举一个简单的例子:

# Configuration

<match app.component>

  @type rewrite_tag_filter

  <rule>

    key message

    pattern /^(w+)$/

    tag $1.${tag}

  </rule>

</match>

在这个例子中,日志的原tag为app.component。

rewrite_tag_filter会对日志记录的message字段进行匹配测试,pattern定义了匹配规则,这里是匹配message中的每个单词,然后去第一个单词,将其插入到原tag之前。

重写效果如下所示:

+------------------------------------------+        +------------------------------------------------+

| original record                          |        | rewritten tag record                           |

|------------------------------------------|        |------------------------------------------------|

| app.component {"message":"[info]: ..."}  | +----> | info.app.component {"message":"[info]: ..."}   |

| app.component {"message":"[warn]: ..."}  | +----> | warn.app.component {"message":"[warn]: ..."}   |

| app.component {"message":"[crit]: ..."}  | +----> | crit.app.component {"message":"[crit]: ..."}   |

| app.component {"message":"[alert]: ..."} | +----> | alert.app.component {"message":"[alert]: ..."} |

+------------------------------------------+        +------------------------------------------------+
  1. 安装说明

    td-agent v3.0.1或更高版本已经内置了rewrite_tag_filter。

    较低版本的td-agent可以通过以下命令进行安装:
# for td-agent2 (with fluentd v0.12)

$ sudo td-agent-gem install fluent-plugin-rewrite-tag-filter -v 1.6.0

# for td-agent3 (with fluentd v0.14)

$ sudo td-agent-gem install fluent-plugin-rewrite-tag-filter
  1. 配置示例

    一个好的配置设计原则是:先过滤掉不需要的日志,然后再处理需要重写的日志。
<source>

  @type tail

  path /var/log/httpd/access_log

  <parse>

    @type apache2

  </parse>

  tag td.apache.access

  pos_file /var/log/td-agent/apache_access.pos

</source>

<match td.apache.access>

  @type rewrite_tag_filter

  capitalize_regex_backreference yes

  <rule>

    key     path

    pattern /\.(gif|jpe?g|png|pdf|zip)$/

    tag     clear

  </rule>

  <rule>

    key     status

    pattern /^200$/

    tag     clear

    invert  true

  </rule>

  <rule>

    key     domain

    pattern /^.+\.com$/

    tag     clear

    invert  true

  </rule>

  <rule>

    key     domain

    pattern /^maps\.example\.com$/

    tag     site.ExampleMaps

  </rule>

  <rule>

    key     domain

    pattern /^news\.example\.com$/

    tag     site.ExampleNews

  </rule>

  # it is also supported regexp back reference.

  <rule>

    key     domain

    pattern /^(mail)\.(example)\.com$/

    tag     site.$2$1

  </rule>

  <rule>

    key     domain

    pattern /.+/

    tag     site.unmatched

  </rule>

</match>

<match site.*>

  @type mongo

  host localhost

  database apache_access

  remove_tag_prefix site

  tag_mapped

  capped

  capped_size 100m

</match>

<match clear>

  @type null

</match>

这个例子中,rewrite_tag_filter首先过滤掉了Apache中图片、压缩包等静态文件的请求日志,然后对日志中的path、status、domain这些字段依次进行正则匹配:

第二个rule用于匹配响应代码为200的记录,通过invert将非200的请求记录过滤掉;

第三个rule用于匹配.com结尾的域名,通过invert将非.com域名请求记录过滤掉;

第四五六个rule用于分类处理不同前缀的域名,分别重写其tag为site.ExampleMaps、site.ExampleNews、site.ExampleMail;

最后一个rule用于处理其他域名,统一重写tag为site.unmatched。

被过滤掉的日志,其tag被重写为clear,并最后丢弃(输出到null)。

其他被重写tag的日志会按照其tag名称被分别写入MongoDB的不同collections中。

  1. 参数说明
  • capitalize_regex_backreference 是否大写正则匹配后项引用项的首字母。默认false,不大写。
  • <rule>配置项 设置匹配及重写规则。

    key:指定日志记录中的匹配字段

    pattern:匹配规则使用的正则表达式

    tag:新的tag。

    支持正则表达式的后向引用,参加上例中第六个rule。

    支持以下占位符:

    • ${tag}__TAG__:原tag
    • ${tag_parts[n]}__TAG_PARTS[n]__:取原tag的第n个字段
    • ${hostname}__HOSTNAME__:主机名

      invert:默认为false。
    • true表示若匹配失败,则重写tag;
    • false表示匹配成功时才重写tag。

      占位符参数:

      • remove_tag_prefix:移除原tag中的前缀
      • remove_tag_regexp:移除原tag中的正则匹配部分
      • hostname_command:设置hostname使用的命令。

        默认使用hostname获取完整的主机名。

        可使用hostname -s获取较短的主机名。
  1. 场景举例
# built-in TCP input

<source>

  @type forward

</source>

# Filter record like mod_rewrite with fluent-plugin-rewrite-tag-filter

<match apache.access>

  @type rewrite_tag_filter

  <rule>

    key     status

    pattern /^(?!404)$/

    tag     clear

  </rule>

  <rule>

    key     path

    pattern /.+/

    tag     mongo.apache.access.error404

  </rule>

</match>

# Store deadlinks log into mongoDB

<match mongo.apache.access.error404>

  @type        mongo

  host        10.100.1.30

  database    apache

  collection  deadlinks

  capped

  capped_size 50m

</match>

# Clear tag

<match clear>

  @type null

</match>

这个配置使用in_forward收集Apache的访问日志。通过设置两个rule,提取日志中的http 404请求记录,将这些请求的url写入MongoDB,这样就可以方便地统计网站中存在的死链。

  1. 常见问题

    使用rewrite_tag_filter经常遇到的情况是,重写tag导致日志无法输出。

    比如:
<match app.**>

  @type rewrite_tag_filter

  <rule>

    key     level

    pattern /(.+)/

    tag     app.$1

  </rule>

</match>

<match app.**>

  @type forward

  # ...

</match>

这个片段就会导致日志无法输出。

仔细看重写规则可以发现,以app开头的tag被重写后仍然是以app为开头。这导致了新事件重新进入第一个<match>,发生了死循环。

所以重新tag时需要谨慎一些,避免发生此类情况。

21. Fluentd输出插件:rewrite_tag_filter用法详解的更多相关文章

  1. golang格式化输出-fmt包用法详解

    golang格式化输出-fmt包用法详解 注意:我在这里给出golang查询关于包的使用的地址:https://godoc.org    声明: 此片文章并非原创,大多数内容都是来自:https:// ...

  2. 21.Python算术运算符及用法详解

    算术运算符是处理四则运算的符号,在数字的处理中应用得最多.Python 支持所有的基本算术运算符,如表 1 所示. 表 1 Python常用算术运算符 运算符 说明 实例 结果 + 加 12.45 + ...

  3. Vue插件编写、用法详解(附demo)

    Vue插件编写.用法详解(附demo) 1.概述 简单来说,插件就是指对Vue的功能的增强或补充. 比如说,让你在每个单页面的组件里,都可以调用某个方法,或者共享使用某个变量,或者在某个方法之前执行一 ...

  4. Vue1.0用法详解

    Vue.js 不支持 IE8 及其以下版本,因为 Vue.js 使用了 IE8 不能实现的 ECMAScript 5 特性. 开发环境部署 可参考使用 vue+webpack. 基本用法 1 2 3 ...

  5. JS逗号运算符的用法详解

    逗号运算符的用法详解 注意: 一.由于目前正在功读JavaScript技术,所以这里拿JavaScript为例.你可以自己在PHP中试试. 二.JavaScript语法比较复杂,因此拿JavaScri ...

  6. jQuery 事件用法详解

    jQuery 事件用法详解 目录 简介 实现原理 事件操作 绑定事件 解除事件 触发事件 事件委托 事件操作进阶 阻止默认事件 阻止事件传播 阻止事件向后执行 命名空间 自定义事件 事件队列 jque ...

  7. linux dmesg命令参数及用法详解(linux显示开机信息命令)

    linux dmesg命令参数及用法详解(linux显示开机信息命令) http://blog.csdn.net/zhongyhc/article/details/8909905 功能说明:显示开机信 ...

  8. SQL中CONVERT()函数用法详解

    SQL中CONVERT函数格式: CONVERT(data_type,expression[,style]) 参数说明: expression 是任何有效的 Microsoft® SQL Server ...

  9. JavaScript中return的用法详解

    JavaScript中return的用法详解 最近,跟身边学前端的朋友了解,有很多人对函数中的this的用法和指向问题比较模糊,这里写一篇博客跟大家一起探讨一下this的用法和指向性问题. 1定义 t ...

随机推荐

  1. java使用配置skywalking

    一 .elasticsearch  和elasticsearch-head 1.下载 elasticsearch-6.3.1  ,下载地址 :https://pan.baidu.com/s/1ymxy ...

  2. Linux系列之添加和删除软件命令

    前言 在基于Debian的Linux发行版中,默认的软件管理器是Advanced Packaging Tool, 也就是apt.本文将简单介绍下面有关添加和删除软件的命令: apt-cache sea ...

  3. 2022-07-25 第四组 java之抽象、接口

    目录 一.抽象类 1.概念 2.抽象类以及抽象方法格式定义 3.抽象类总结规定 二.接口 1.什么是接口 2.接口的定义 3.接口特性 4.抽象类和接口的区别 5.继承抽象类和实现接口的异同 6.规则 ...

  4. Reactive UI -- 反应式编程UI框架入门学习(二)

    前文Reactive UI -- 反应式编程UI框架入门学习(一)  介绍了反应式编程的概念和跨平台ReactiveUI框架的简单应用. 本文通过一个简单的小应用更进一步学习ReactiveUI框架的 ...

  5. Python基础之list和tuple的使用

    list和tuple的使用 list Python内置的一种数据类型列表:list list是一种有序的集合,可以随身添加和删除其中的元素. 比如列出办理所有同学的名字,就可以用一个list表示: & ...

  6. Redis 02 数据库

    参考源 https://www.bilibili.com/video/BV1S54y1R7SB?spm_id_from=333.999.0.0 版本 本文章基于 Redis 6.2.6 Redis 默 ...

  7. [游记]CSP 2021 J/S

    这一次,也许是我的OI生涯的转折点了--能过,学习OI的时间就不会减少:但不能过,就会减少学习OI的时间-- 上午(S组) 6:00起床.去吃早餐,结果因为边喝粥边喝牛奶导致肚子疼.(我在这里劝大家, ...

  8. java-异步与并发之基础

    1.线程提供了一个方法: void join()该方法允许一个线程在另一个线程上等待,直到其完成工作后才解除阻塞运行.所以join可以协调线程之间同步运行线程调用join()方法,方法后就进入阻塞状态 ...

  9. 048_末晨曦Vue技术_处理边界情况之使用$root访问根实例

    处理边界情况之使用$root访问根实例 点击打开视频教程 在每个 new Vue 实例的子组件中,其根实例可以通过 $root property 进行访问. 例如,在这个根实例中: src\main. ...

  10. Spring 08: AOP面向切面编程 + 手写AOP框架

    核心解读 AOP:Aspect Oriented Programming,面向切面编程 核心1:将公共的,通用的,重复的代码单独开发,在需要时反织回去 核心2:面向接口编程,即设置接口类型的变量,传入 ...