ELK系列~log4-nxlog-Fluentd-elasticsearch寫json數據需要註意的幾點

-Advertisement-

經驗與實踐前兩篇文章里我們介紹了nxlog的日誌收集和轉發《ELK系列~Nxlog日誌收集加轉發(解決log4日誌換行導致json轉換失敗問題)》，今天我們主要總結一下，在與log4和fluentd及elasticsearch配合工作時需要註意的幾個點，這幾個點也是我們經常遇到的坑，希望可以幫到大 ...

經驗與實踐

前兩篇文章里我們介紹了nxlog的日誌收集和轉發《ELK系列~Nxlog日誌收集加轉發(解決log4日誌換行導致json轉換失敗問題)》，今天我們主要總結一下，在與log4和fluentd及elasticsearch配合工作時需要註意的幾個點，這幾個點也是我們經常遇到的坑，希望可以幫到大家！我們從日誌產生端log4開始說。

log4需要註意的，編碼與時間戳格式
nxlog需要註意output里對內容處理
fluentd需要註意類型和format的規定

1 log4產生日誌，格式必須是utf-8，ansi編碼對中文解析時有問題，主要表示在fluentd到elasticsearch寫數據時

      <datePattern value="yyyyMMdd&quot;Error.log&quot;" />
      <encoding value="utf-8" /> 
      <layout type="log4net.Layout.PatternLayout">
      </layout>
    </appender>

2 log4日誌里，時間戳@timestamp，需要是UTC時間，格式為yyyy-MM-ddTHH:mm:ss.fff+0800

        private static string FormatStr(string level, string message, Exception ex)
        {
            var json = JsonConvert.SerializeObject(new
            {
                target_index = projectName,
                timestamp = DateTime.Now.ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.fff+0800"),
                Level = level.ToString(),
                Message = message,
                StackTrace = ex?.StackTrace
            });
            json = json.Replace("target_index", "@target_index").Replace("timestamp", "@timestamp");
            return json;
        }

3 nxlog日誌收集時，由於log4產生的數據都是\r符號，所以在nxlog.conf里需要對output進行過濾，當然\n，使它變成兩條消息，這樣主體消息里就沒有\r了，json解析時就不會有問題

<Output out>
    Module      om_tcp
    Host        192.168.200.214
    Port        24224
  
    Exec $raw_event =$raw_event + "\n";
</Output>

4 fluentd的配置里，類型需要是tcp，格式format需要是none

<source>
    @type tcp
    tag windows.log
    format none
    port 24224
    bind 0.0.0.0
  </source>
  <filter docker.**>
    type parser
    format json
    time_format %Y-%m-%dT%H:%M:%S.%L%Z
    key_name log
    reserve_data true
  </filter>
  <match **>
    @type stdout
  </match>

5 最後就是成功寫入elasticsearch,通過kibana就可以查看日誌了

請把學習作為一種習慣！

請把積累和總結變成一種學習的方式！

感謝各位的閱讀！

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

JTable更新內容的方法

JTable更新內容的方法 DefaultTableModel dtm=new DefaultTableModel(data,head);//定義表格模型 jt.setModel(dtm);或jt=new JTable(dtm);//根據表格模型創建表格 DefaultTableModel dtm2 ...
51Nod 1051 最大子矩陣和

1051 最大子矩陣和基準時間限制：2 秒空間限制：131072 KB 分值: 40 難度：4級演算法題收藏關註 1051 最大子矩陣和基準時間限制：2 秒空間限制：131072 KB 分值: 40 難度：4級演算法題 1051 最大子矩陣和基準時間限制：2 秒空間限制：131072 K ...
6.介面調試工具

微信公眾平臺介面調試工具： https://mp.weixin.qq.com/debug/ 下麵模擬手機微信向公眾號發信息測試結果： ...
java中的反射機制淺析

1.反射機制的理解在運行狀態中，對於任意一個類，都能夠知道這個類的所有屬性和方法對於任意一個對象，都能夠調用它的任意一個方法和屬性類中有什麼信息，利用反射機制就能可以獲得什麼信息，不過前提是得知道類的名字 2.反射機制的作用在運行時判斷任意一個對象所屬的類；在運行時獲取類的實例對象；在運 ...
設計模式-原型(prototype)

一、概念用原型實例指定創建對象的種類，並通過拷貝這些原型創建新的對象。二、模式動機當已有一個對像，暫且稱之為原型對象，需要一個新的對像，該對像和已有的原型對像具有相同的類型，且裡面的屬性大部分相同，或者只有個別不同時，這時就可以用原型模式，克隆原型對像，產生一個新的對像，並對新的對像屬性進行適 ...
ELK系列~nxlog實現多位置文件的收集

前幾天我寫了幾篇關於ELK日誌收集，存儲和分析的文章： ELK系列~NLog.Targets.Fluentd到達如何通過tcp發到fluentd ELK系列~Nxlog日誌收集加轉發(解決log4日誌換行導致json轉換失敗問題) ELK系列~log4-nxlog-Fluentd-elasticse ...
項目中用到的設計模式-觀察者模式

一：觀察者模式簡單介紹觀察者模式又稱為發佈-訂閱模式（publish/subscribe），該模式定義了一種，一對多的依賴關係，讓多個觀察者同時監聽一個主題對像，這個主題對像在狀態發生改變時，會通知所有的觀察者對像更新（執行業務邏輯）。示意圖如下：觀察者角色介紹: 1：抽像主題角色（Subjec ...
C#學習筆記-觀察者模式

題目1：幾個同事為了在上班期間偷偷看休息，做點其他的事情，就和小秘偷偷聯繫了一下，如果老闆回來了，就麻煩小秘偷偷通知一聲，這樣方便大家及時變更自己的工作狀態。分析：根據題目分析，首先明確，肯定會有兩個類：小秘類和同事類，分別描述與記錄兩種類型的人和行為。需要註意的是：小秘與同事構建聯繫的時候， ...