Filebeat技术之多行采集

原创 于 2025-06-03 15:27:35 发布 · 861 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #elk #云原生 #filebeat

权威发布:Manage multiline messages | Elastic Documentation

一、Filebeat 多行采集是什么

Filebeat 本身是一个轻量级日志采集器,默认情况下它按行(line)读取日志文件,并将每一行作为单独的事件发送到下游(如 Elasticsearch、Logstash 等)。但在实际生产环境中,经常会遇到“一个日志事件跨多行”的场景,比如:

  • Java 应用的异常堆栈(stack trace)往往占用多行:

    2025-06-03 10:15:22,123 ERROR com.example.MyService - 执行失败 java.lang.NullPointerException: ... at com.example.MyService.doWork(MyService.java:42) at com.example.App.main(App.java:10)

  • 某些脚本输出会把一条业务日志分成多行输出,例如带有换行符的 JSON、YAML 或者自定义格式的日志。

  • 当日志输出包含堆栈信息、调试信息或多行描述时,如果不做多行合并,ELK(或 EFK)下游就会把同一个异常拆成多条记录,导致查询和关联非常混乱。

Filebeat 的多行采集(multiline)功能,就是用来“把同一个逻辑事件跨多行的日志,合并成一个完整事件发送”的机制。它通过正则规则判断“当前读取行是否属于上一事件的延续”,如果是则合并,否则开始一个新事件。

二、为什么要用到多行采集

  1. 1. 保持日志完整性,方便问题定位

    • 如果一个 Java 异常堆栈分散在 10 行里,而 Filebeat 默认逐行发送,ES/Kibana 中会把这 10 行当成 10 条日志分别索引,后面查找异常时就无法一次性看到完整堆栈。

    • 多行采集让我们在 Filebeat 端就把这 10 行合并成 1 条完整记录,这样在 Kibana 中检索、聚合、关联时就能一次性看到整个堆栈,极大提升排错效率。

  2. 2. 减轻下游处理压力

    • 如果不做多行合并,需要依赖 Logstash 或者 Ingest Pipeline 去做“多行合并”或“事件聚合”,相对复杂,还会增加延迟。Filebeat 多行采集是在采集端完成合并,发送到 Elasticsearch 时已经是一条完整事件,更轻量高效。

    • 倘若日志源端已经分好行,但下游只关心“整条消息”,Filebeat 级别就做合并能减少网络、IO 和 Elasticsearch 索引的总体负载。

  3. 3. 适应常见应用输出格式

    • 许多主流框架(如 Log4j、Logback、Spring Boot 等)输出异常或某些调试信息时,都会将同一次异常的多行堆栈分为多行打印。Filebeat 多行功能可以无缝兼容这些格式。

    • 如果你有自己定义的日志格式(比如自定义脚本在多行写入一条业务描述),也能够通过正则将它们合并为一条事件。

总之,多行采集能保证“一条业务/异常”对应“一条事件”,而不是“N 条事件”。

三、如何做到多行采集

Filebeat 的多行采集是在配置文件中通过 multiline 选项来实现的。常见配置步骤如下:

  1. 打开 Filebeat 配置文件

    • 默认位置: /etc/filebeat/filebeat.yml

    • 或者在自定义 modular 配置目录下(例如 /etc/filebeat/modules.d//etc/filebeat/config.d/ 中对应的文件)。

  2. 在对应的 input/Prospector 区块下,开启 multiline 配置
    以下举例说明几种常用场景的配置方式。

1.Filebeat模块多行采集Redis集群日志

要保证机器上面有Redis服务哦,没有的话直接install安装一下。

2. 启动filebeat实例

[root@elk93 ~]# cat /tmp/modules-redis-to-es.yaml
filebeat.config.modules:
  path: ${path.config}/modules.d/redis.yml
  reload.enabled: true

output.elasticsearch:
  hosts:
  - 10.0.0.91:9200
  - 10.0.0.92:9200
  - 10.0.0.93:9200
  index: novacao-linux95-modules-redis-%{+yyyy.MM.dd}
setup.ilm.enabled: false
setup.template.name: "novacao-linux95"
setup.template.pattern: "novacao-linux95-*"
setup.template.overwrite: true
setup.template.settings:
  index.number_of_shards: 5
  index.number_of_replicas: 0
[root@elk93 ~]# 
[root@elk93 ~]# 
[root@elk93 ~]# filebeat -e -c /tmp/modules-redis-to-es.yaml

 3. filebeat启用Redis模块

[root@elk93 ~]# filebeat modules enable redis
Enabled redis
[root@elk93 ~]#

4. 编写filebeat采集Redis多行配置

- filebeat采集redis启动日志多行合并案例
[root@elk93 filebeat]# cat 11-filestream-multiline-redis-to-es.yaml 
filebeat.inputs:
- type: filestream
  paths:
    - /var/log/redis/redis-server.log*
  # 配置解析器
  parsers:
    # 定义多行匹配
  - multiline:
      # 指定匹配的类型
      type: pattern
      # 定义匹配模式
      pattern: '^\d'
      # 参考官网: https://www.elastic.co/guide/en/beats/filebeat/current/multiline-examples.html
      negate: true
      match: after

#output.console:
#  pretty: true
output.elasticsearch:
  hosts:
  - 10.0.0.91:9200
  - 10.0.0.92:9200
  - 10.0.0.93:9200
  index: linux95-modules-redis-%{+yyyy.MM.dd}

setup.ilm.enabled: false
setup.template.name: "linux95"
setup.template.pattern: "linux95-*"
[root@elk93 filebeat]#

 5. 多行匹配采集tomcat错误日志

filebeat的多行匹配采集tomcat错误日志

1.准备tomcat错误日志
[root@elk93 ~]# shutdown.sh 
Using CATALINA_BASE:   /usr/local/apache-tomcat-11.0.5
Using CATALINA_HOME:   /usr/local/apache-tomcat-11.0.5
Using CATALINA_TMPDIR: /usr/local/apache-tomcat-11.0.5/temp
Using JRE_HOME:        /usr/share/elasticsearch/jdk
Using CLASSPATH:       /usr/local/apache-tomcat-11.0.5/bin/bootstrap.jar:/usr/local/apache-tomcat-11.0.5/bin/tomcat-juli.jar
Using CATALINA_OPTS:   
[root@elk93 ~]# 
[root@elk93 ~]# 
[root@elk93 ~]# vim /usr/local/apache-tomcat-11.0.5/conf/server.xml   # 随意改错配置就可以
[root@elk93 ~]# 
[root@elk93 ~]# catalina.sh start
Using CATALINA_BASE:   /usr/local/apache-tomcat-11.0.5
Using CATALINA_HOME:   /usr/local/apache-tomcat-11.0.5
Using CATALINA_TMPDIR: /usr/local/apache-tomcat-11.0.5/temp
Using JRE_HOME:        /usr/share/elasticsearch/jdk
Using CLASSPATH:       /usr/local/apache-tomcat-11.0.5/bin/bootstrap.jar:/usr/local/apache-tomcat-11.0.5/bin/tomcat-juli.jar
Using CATALINA_OPTS:   
Tomcat started.
[root@elk93 ~]#

6. 编写filebeat采集Redis多行配置

2.将日志采集后写入ES集群
[root@elk93 ~]# cat /tmp/filestream-tomcat-error-to-es.yaml
filebeat.inputs:
- type: filestream
  paths:
    - /usr/local/apache-tomcat-11.0.5/logs/catalina*
  parsers:
  - multiline:
      type: pattern
      pattern: '^\d'
      negate: true
      match: after

#output.console:
#  pretty: true
output.elasticsearch:
  hosts:
  - 10.0.0.91:9200
  - 10.0.0.92:9200
  - 10.0.0.93:9200
  index: linux95-modules-tomcat-err-%{+yyyy.MM.dd}

setup.ilm.enabled: false
setup.template.name: "linux95"
setup.template.pattern: "linux95-*"
[root@elk93 ~]# 
[root@elk93 ~]# 
[root@elk93 ~]# rm -rf /var/lib/filebeat/
[root@elk93 ~]# 
[root@elk93 ~]# filebeat  -e -c /tmp/filestream-tomcat-error-to-es.yaml

四、小结

  • Filebeat 多行采集(multiline):在 Filebeat 端将一条跨多行的日志事件“拼接合并”为一个完整的 Event,发送到下游存储/分析系统。

  • 为什么用:保证异常堆栈、JSON、YAML 等多行格式的日志以完整单元展示,方便检索与关联,减轻下游 Logstash/Elasticsearch 的工作量。

  • 核心配置:在对应的 filebeat.inputs 区块中打开 multiline.enabled: true,并通过 patternnegatematchmax_linestimeout 等字段精确地告诉 Filebeat 怎样判定“某行属于上一事件的延续”或“是新事件的开始”。

  • 调试思路:先在小文件或命令行里测试正则匹配效果,再结合 max_lines/timeout 参数做压力测试,最终在 kibana/ES 中验证效果。

掌握以上原理与配置范式后,就能针对几乎所有类型的多行日志进行正确采集,极大地提升日志分析与排查效率。祝使用顺利!

大数据系列 | 日志数据采集工具Filebeat的架构分析及应用
背锅神童的博客
07-04 227
本文介绍了轻量级日志采集工具Filebeat的架构原理及应用实践。Filebeat作为Beats家族成员,相比Logstash资源消耗更低,采用Go语言开发。其核心架构包含Input(支持log、syslog等数据源)、Processor(提供简单数据处理)和Output(支持Elasticsearch、Logstash等输出)三大组件。文章详细解析了Filebeat的工作原理,包括日志文件的发现、Harvester收集机制等,并提供了从Logstash转发到Filebeat的实践案例,展示了如何配置fil
Filebeat新手入门(二)多行合并
kele5589的博客
05-09 3144
Filebeat 日志数据采集和分析
Filebeat 关键字多行匹配日志采集multiline与include_lines)
weixin_33824363的博客
06-23 2392
很多同事认为filebeat采集日志不能做到多行处理,今天这里讨论下filebeatmultiline与include_lines。先来个案例,以下日志,我们只要求采集error的字段,2017/06/2211:26:30[error]26067#0:*17918connect()failed(111:Connectionrefused)whilec...
filebeat踩坑
weixin_34310369的博客
04-01 816
使用filebeat5.0.1版本,用filebeat作为日志收集工具时:java日志格式需要多行匹配,在filebeat配置文件中添加: ### Multiline options # Mutiline can be used for log messages spanning multiple lines. This is common # for Java Sta...
使用 Filebeat多行日志进行处理(multiline
热门推荐
杂货铺子
11-09 1万+
Filebeat 收集日志的过程中,默认是按行收取的,也就是每一行都会默认是一个单独的事件并添加时间戳。但是在收集一些特殊日志的时候,往往一个事件包含有多行,例如 Java 的堆栈跟踪日志: 20-09-25 09:09:01.866 ERROR - {"traceId":"","where":{"methodName":"doFilter","className":"com.sohu.smc.channel.news.filter.ResponseTimeFilter","lineNumber":47},
Filebeat处理多行换行的问题
~O~
03-01 1969
fillbeat处理多行日志问题
Filebeat 按照关键字匹配采集多行日志(实验详解)
BigManing的博客
08-10 3207
一、采集多行日志官方介绍 ### Multiline options # Multiline can be used for log messages spanning multiple lines. This is common # for Java Stack Traces or C-Line Continuation # The regexp Pattern that has to be matched. The example pattern matches all lines s
filebeat多行合并配置文件.txt
01-03
### Filebeat多行合并配置详解 #### 一、概述 在日志收集与处理领域,Filebeat是一款轻量级的日志转发工具,属于Elasticsearch生态中的重要组件之一。Filebeat能够有效地从服务器上采集日志文件,并将其发送至...
解决Filebeat收集Java多行报错问题
在日志收集和分析领域,Filebeat是Elastic Stack中一个轻量级的日志转发工具,常用于从服务器上实时采集日志数据并发送到中央日志存储系统如Elasticsearch。然而,Java程序的错误日志往往跨越多行,单行的日志处理...
filebeat收集java程序多行报错
lt_xiaodou的博客
08-26 582
一个java程序报错往往是一个事件,这个报错并不是一行就能展示完的,几乎需要几十行才能展示完这个报错内容,对于filebeat来说,filebeat每次都是把一行看成了一个日志,那么对于java多行报错就不是很友好了,即使收集过来也是将一个事件的报错日志分成很多行在kibana上展示,这样对于开发人员来看日志就很头疼了如果对于多行报错的日志还用传统的收集方法,就像下图一样,完全不知道报错是什么了,不管谁看这个日志都需要去对比。...
ELK - filebeat - Multiline Configuration
chuckchen1222的博客
12-28 460
日志中出现多行,该如何跟踪。 使用filebeat中的multiline配置,在日志跟踪的时候,直接   multiline.negate: 定义模式是否被否定。默认值是false。 multiline.match: 指定Filebeat如何将匹配行组合到事件中。设置是在后面或之前。 negate match result ...
GPIB_Code
混沌的博客
12-21 3775
Avoid unnecessary use of *RST. Putting Multiple Commands on the Same Line ; *OPC (operation complete) sets bit 0 in the standard event status register when all operations are complete. /*Set the a
java multiline_FileBeat多行消息Multiline
weixin_33603067的博客
02-24 661
Filebeat获取的文件可能包含跨多行文本的消息。例如,多行消息在包含Java堆栈跟踪的文件中很常见。为了正确处理这些多行事件,你需要在filebeat.yml中配置multiline以指定哪一行是单个事件的一部分。1、配置项你可以在filebeat.yml的filebeat.inputs区域指定怎样处理跨多行的消息。例如:multiline.pattern: '^\['multiline.ne...
Filebeat multiline合并多行日志
qq_25911515的博客
01-11 4488
ES 6.3版本 filebeat.inputs: - type: log enabled: true paths: # - /var/log/*.log - /opt/filebeat-6.3.2-linux-x86_64/test.log # exclude_lines: ['ConfigClusterResolver'] #filebeat.config.modu...
filebeat 把应用日志多行合并
最新发布
qq_30029665的博客
03-26 1155
不知道大家使用 filebeat 收集日志的时候有没有遇到过这样的问题,在 kibana 上查看 ERROR 日志时时不完整的,明明错误日志是有很多行的,但是我们按关键字查询的时候,只有一行,这就让人很头疼了,查不出哥前因后果来。pattern: ‘^\d{4}-\d{1,2}-\d{1,2}’ #匹配到不以 xxxx-xx-xx 这样的时间格式开头的日志(正则表达式)处理日志的关键配置是,解释 匹配到不以 xxxx-xx-xx 这样的时间格式开头的日志,自动合并到上一行的末尾。
Filebeat多行日志处理
菜鸟厚非
05-26 5996
https://www.iamle.com/archives/2658.html https://www.cnblogs.com/toSeek/p/6120778.html
filebeat 设置Multiline配置,支持合并数字流水开头的日志
xcl119xcl的专栏
07-18 2350
参考:http://120.203.18.89:6969/57/filebeat-%e8%ae%be%e7%bd%aemultiline%e9%85%8d%e7%bd%ae%ef%bc%8c%e6%94%af%e6%8c%81%e5%90%88%e5%b9%b6%e6%95%b0%e5%ad%97%e6%b5%81%e6%b0%b4%e5%bc%80%e5%a4%b4%e7%9a%84%e6%97...
filebeat multiline配置(转)
天才小厨师杨一
01-23 2322
使用filebeat5.0.1版本,用filebeat作为日志收集工具时: java日志格式需要多行匹配,在filebeat配置文件中添加: ### Multiline options # Mutiline can be used for log messages spanning multiple lines. This is common # for Java Stack
Filebeat合并多行消息
小熊的专栏
04-25 2357
Filebeat收集的文件可能包含跨越多行文本的消息。例如,多行消息在包含Java堆栈跟踪的文件中很常见。为了正确处理这些多行事件,您需要multilinefilebeat.yml文件中配置设置以指定哪些行是单个事件的一部分。 如果要将多行事件发送到Logstash,请在将事件数据发送到Logstash之前,使用此处介绍的选项处理多行事件。尝试在Logstash中实现多行事件处理(例如,通过使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值