logstash常见故障(logstash)

logstash常见故障

首先，应该先确认是内存泄漏问题还是内存溢出问题。如果是内存泄漏，则可通过工具查看泄漏对象到GC Roots的引用链，掌握了泄漏对象的类型信息，以及GC Roots引用链的信息，就可以比较准确地定位出泄漏代码的位置。

logstash收集日志,多台机器,必须要多台机器安装部署吗

Logstash没有提供集群安装方式，相互之间并没有交互，但是我们可以配置同属一个Kafka消费者组，来实现统一消息只消费一次的功能。

需要的开源软件：Logstash和Elasticsearch。通过在各个虚拟机上安装Logstash收集Tomcat的日志数据，并存储在Elasticsearch中达到日志集中收集和分析的目的。过程有两个步骤：配置Tomcat的日志存储格式。

实际上，业务具有多样性，只要有日志文件的地方，它就可以用。例如多数会使用Nginx进行日志收集。我们也需要考虑到日志生产者的问题，责权分离，需要单独一台机子进行日志采集。

但是，在实际使用的过程中发现，logstash会占用很多系统资源，因此决定加入一个更轻量的日志收集组件（也是elastic stack的组件之一）filebeat。因此在加入filebeat之后，整个部署架构变成了如下图所示。

Logstash-配置

1、配置示例 运行结果 作为最简单的测试，我们先暂停一下本机的syslogd(或rsyslogd)进程，然后启动 logstash 进程（这样就不会有端口冲突问题）。现在，本机的 syslog 就会默认发送到 logstash 里了。

2、在logstash中，包括了三个阶段：输入input -- 处理filter（不是必须的） -- 输出output 配置启动端口为9600 如下例子为过滤删除指定字段RetryJob Grok 是 Logstash 最重要的插件。

3、Debugger的Descover来自动匹配。logstash自带的grok正则中有nginx的标准日志格式：我们可以参考这个正则来自定义自己的日志 其中 UPSTREAM_ADDR 是自定义的正则。启动logstash，然后就可以查看日志是否写入elasticsearch中。

4、在logstash社区有个小伙伴提出了同样的问题： date时区问题 这里我们用刀date filter来配置日期：把timezone 就设定为UTC，在它的基础上再加8个小时。

5、所以在定义logstash配置文件时有一些关键点需要注意。本文基于logstash-4和elastcisearch-4对需要注意的关键点进行列举。

误操作引起的Logstash重复收集

1、ai引擎检测到的攻击数据会写入kafka，然后通过logstash采集到es，提供给安全人员做人工评判。因为攻击可能重复出现，所以我们希望攻击（url）中只出现一次。

2、Logstash的Kafka输入导致对偏移量主题的提交数量比预期的多得多。 通常，投诉还提到重复执行相同偏移量的冗余偏移量提交。Solution对于Kafka Broker版本0.1到0.x：问题是由Kafka中的错误引起的。

3、使用 logstash 收集系统上的日志，并使用 grok 解析日志，使用 mutate 修改解析出来的字段类型、删除字段、重命名字段，最后将解析好的日主输出到 elasticsearch 中。

logstash在Elasticsearch中创建的默认索引模板问题

1、Elasticsearch是什么？Elasticsearch是位于ElasticStack核心的分布式搜索和分析引擎。Logstash和Beats有助于收集、聚合和丰富您的数据并将其存储在Elasticsearch中。Kibana使您能够以交互方式探索、可视化和分享对数据的见解，并管理。

2、Elasticsearch是位于ElasticStack核心的分布式搜索和分析引擎。Logstash和Beats有助于收集、聚合和丰富您的数据并将其存储在Elasticsearch中。ElasticSearch是一个基于Lucene的搜索服务器。

3、第四步，定义一个别名logstash.模板摘要在步骤 5 中。如果一切正常，请单击创建模板。此时，您已准备好使用 Elasticsearch 索引 API 加载日志数据。在 Kibana Console中，索引两个文档：映射和别名是根据模板自动配置的。

4、Debugger的Descover来自动匹配。logstash自带的grok正则中有nginx的标准日志格式：我们可以参考这个正则来自定义自己的日志 其中 UPSTREAM_ADDR 是自定义的正则。启动logstash，然后就可以查看日志是否写入elasticsearch中。

5、Elasticsearch既可以搜索、也可以保存数据。它提供了一种半结构化、不依赖 schema并且基于 *** ON的模型，你可以直接传入原始的 *** ON文档，Elasticsearch会自动地检测出你的数据类型，并对文档进行索引。

6、Index modules Index management 可以通过Kibana Management或ILM API创建和管理索引生命周期策略。当您为Beats或Logstash Elasticsearch输出插件启用索引生命周期管理时，默认策略是自动配置的。

当ES向logstash发出reject

当Logstash向Kafka Broker请求的事件超出其在超时范围内无法处理的事件时，它将触发分区的重新分配。 分区的重新分配需要时间，并且可能导致事件的重复处理和严重的吞吐量问题。

故障描述： 检查es索引发现几个大索引在半夜停了，查看redis发现已经被撑爆内存重启过了。集群状态为红色，logstash日志显示：检查各台服务器，发现有几台服务器磁盘使用量达到80%以上。

这个原因是：Logstash 默认会上传一个名叫 logstash 的模板到 ES 里。如果你在使用上面这个配置之前，曾经运行过 Logstash（一般来说都会），那么 ES 里就已经存在这么一个模板了。

注：Logstash意思是日志存储，下文中对本词使用英文。

打开 创建模板 向导，然后 logs_template 在 名称 字段中输入。将 索引模式 设置为， logstash* 以便模板匹配具有该索引模式的任何索引。合并顺序和版本都是可选的，在此示例中您将它们留空。

免责声明
           本站所有信息均来自互联网搜集
1.与产品相关信息的真实性准确性均由发布单位及个人负责，
2.拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论
3.请大家仔细辨认！并不代表本站观点,本站对此不承担任何相关法律责任！
4.如果发现本网站有任何文章侵犯你的权益,请立刻联系本站站长[ *** :775191930]，通知给予删除