日志分析(六)业务异常日志分解
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
⽇志分析(六)业务异常⽇志分解
1.初步分离
业务系统在运⾏期间会抛出来⼀些运⾏期异常⽇志,监控这些⽇志,过滤多余其它⽇志,然后给予相应owner告警就成为异常监控的⽬标之⼀。
logstash配置如下:
input {
file {
type => "exception"
path => "/Users/xxxxx/Documents/xxxxx/apache-tomcat-7.0.53/bin/logs/*.log"
}
}
filter {
if ([message] =~ "^.+(INFO|DEBUG|WARN|TRACE).+") {
drop {}
}
if ([type] == "exception") {
multiline {
pattern => "(^.+Exception: .+)|(^\s+at .+)|(^\s+... \d+ more)|(^\s*Caused by:.+)"
what => "previous"
}
}
if "multiline" not in [tags] {
drop {}
}
}
output {
stdout { codec => rubydebug }
}
删除⾮ERROR的⽇志,并且异常⽇志抽取完后,删除tags不包含multiline的事件。
2.精确分离
初步分离完成之后,其实对异常类型,异常信息详情,异常堆栈有不同的需求度。
因此精确分离的⽬标就是进⼀步分拆异常信息,为后续的异常统计分析提供数据⽀持。
后续补充完善......。