日志分析（六）业务异常日志分解

⽇志分析（六）业务异常⽇志分解
1.初步分离
业务系统在运⾏期间会抛出来⼀些运⾏期异常⽇志，监控这些⽇志，过滤多余其它⽇志，然后给予相应owner告警就成为异常监控的⽬标之⼀。

logstash配置如下：
input {
file {
type => "exception"
path => "/Users/xxxxx/Documents/xxxxx/apache-tomcat-7.0.53/bin/logs/*.log"
}
}
filter {
if ([message] =~ "^.+(INFO|DEBUG|WARN|TRACE).+") {
drop {}
}
if ([type] == "exception") {
multiline {
pattern => "(^.+Exception: .+)|(^\s+at .+)|(^\s+... \d+ more)|(^\s*Caused by:.+)"
what => "previous"
}
}
if "multiline" not in [tags] {
drop {}
}
}
output {
stdout { codec => rubydebug }
}
删除⾮ERROR的⽇志，并且异常⽇志抽取完后，删除tags不包含multiline的事件。

2.精确分离
初步分离完成之后，其实对异常类型，异常信息详情，异常堆栈有不同的需求度。

因此精确分离的⽬标就是进⼀步分拆异常信息，为后续的异常统计分析提供数据⽀持。

后续补充完善......。