日志分析(六)业务异常日志分解

1.初步分离

业务系统在运行期间会抛出来一些运行期异常日志,监控这些日志,过滤多余其它日志,然后给予相应owner告警就成为异常监控的目标之一。

logstash配置如下:

input {
file {

type => "exception"

path => "/Users/xxxxx/Documents/xxxxx/apache-tomcat-7.0.53/bin/logs/*.log"

}

}

filter {
if ([message] =~ "^.+(INFO|DEBUG|WARN|TRACE).+") {
drop {}
}
if ([type] == "exception") {
multiline {
pattern => "(^.+Exception: .+)|(^\s+at .+)|(^\s+... \d+ more)|(^\s*Caused by:.+)"
what => "previous"
}
}
if "multiline" not in [tags] {

drop {}

}

}

output {
stdout { codec => rubydebug }

}

删除非ERROR的日志,并且异常日志抽取完后,删除tags不包含multiline的事件。

2.精确分离

初步分离完成之后,其实对异常类型,异常信息详情,异常堆栈有不同的需求度。因此精确分离的目标就是进一步分拆异常信息,为后续的异常统计分析提供数据支持。

后续补充完善......

时间: 2024-08-24 06:00:33

日志分析(六)业务异常日志分解的相关文章

seci-log 1.05 发布,日志分析增加业务系统日志

本次升级并没有增加新的告警,而是增加了业务日志分析,协议用的是udp 514端口,和syslog公用一个端口:由于业务日志五花八门要想进行适配和分析,必须先定好格式.下面详细介绍一下日志的格式,关键内容是以空格作为区分,属性和值是用等号进行分开的,整个日志中secisland business log 这三个字母是必须有的,其他字段都可以没有,但为了审计和分析的准确性,建议能加的都加上.格式示例如下: secisland business log time="2015-04-26 15:42:3

日志分析方法概述 & Web日志挖掘分析的方法

日志在计算机系统中是一个非常广泛的概念,任何程序都有可能输出日志:操作系统内核.各种应用服务器等等.日志的内容.规模和用途也各不相同,很难一概而论. 本文讨论的日志处理方法中的日志,仅指Web日志.其实并没有精确的定义,可能包括但不限于各种前端Web服务器--apache.lighttpd.tomcat等产生的用户访问日志,以及各种Web应用程序自己输出的日志. 在Web日志中,每条日志通常代表着用户的一次访问行为,例如下面就是一条典型的apache日志: 211.87.152.44 – - [

(一个)kafka-jstorm集群实时日志分析 它 ---------kafka实时日志处理

package com.doctor.logbackextend; import java.util.HashMap; import java.util.List; import java.util.Map; import java.util.Properties; import kafka.consumer.Consumer; import kafka.consumer.ConsumerConfig; import kafka.consumer.ConsumerIterator; import

(一)kafka-jstorm集群实时日志分析 之 ---------kafka实时日志处理

package com.doctor.logbackextend; import java.util.HashMap; import java.util.List; import java.util.Map; import java.util.Properties; import kafka.consumer.Consumer; import kafka.consumer.ConsumerConfig; import kafka.consumer.ConsumerIterator; import

iOS应用崩溃日志分析 iOS应用崩溃日志揭秘

转自:http://www.raywenderlich.com/zh-hans/30818/ios%E5%BA%94%E7%94%A8%E5%B4%A9%E6%BA%83%E6%97%A5%E5%BF%97%E6%8F%AD%E7%A7%98 这篇文章还能够在这里找到 英语 Learn how to make sense of crash logs! 本文作者是 Soheil Moayedi Azarpour, 他是一名独立iOS开发人员. 作为一名应用开发人员,你是否有过例如以下经历? 为确保

Splunk大数据日志分析系统远程获取日志数据

1.     Splunk接收器开启 在Splunk服务器安装目录,执行./splunk enable listen 9997 –auth<username>:<password> Username默认为splunk web登陆用户名 Password默认为splunk web登陆密码 ./splunk enable listen 9997 –auth admin:changme 2.          Splunk转发器安装(Linux下安装,Windows的直接下一步) htt

seci-log 1.03 日志分析软增加web日志分析

日志分析软件的升级了,我们在上次十种告警(非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功.敏感文件操作告警和高危命令操作,主机扫描,端口扫描,非法外联)的基础上有增加了sql注入,xss攻击,路径遍历,webshell,网站敏感文件访问,和cc攻击告警. Sql注入 下面的告警都是从Web服务器日志中产生的,web服务器日志格式支持Apache的NCSA日志格式,包括NCSA普通日志格式(CLF)和NCSA扩展日志格式(ECLF)两类.默认apache,tomcat分别就是这两

日志分析-2.发送windows日志到一个远程的rsyslog服务器上

要将一个Windows客户端的日志消息转发到我们的rsyslog服务器,需要一个安装 Windows syslog 代理. 1.SyslogAgent http://download.cnet.com/Datagram-SyslogAgent/3000-2085_4-10370938.html 2.安装SyslogAgent 这里省略安装步骤 3.相应的设置 需要将其配置为作为服务运行,连接install,点 Rsyslog 服务器如何配置,请查看 http://yuanji6699.blog.

awstats日志分析脚本、合并日志文件

#!/bin/shif [ ! -d /home/passport_log_tmp ] && [ ! -d /usr/local/nginx/html/awstats/passport.xxx.com ];then    mkdir -p /usr/local/nginx/html/awstats/passport.xxx.com    mkdir -p /home/passport_log_tmpfi rm -rf /home/passport_log_tmp/access_*.log