CN110990218B - 基于海量日志的可视化与告警的方法、装置及计算机设备 - Google Patents

基于海量日志的可视化与告警的方法、装置及计算机设备 Download PDF

Info

Publication number
CN110990218B
CN110990218B CN201911155971.2A CN201911155971A CN110990218B CN 110990218 B CN110990218 B CN 110990218B CN 201911155971 A CN201911155971 A CN 201911155971A CN 110990218 B CN110990218 B CN 110990218B
Authority
CN
China
Prior art keywords
information
log
preset
index
alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911155971.2A
Other languages
English (en)
Other versions
CN110990218A (zh
Inventor
陈晓敏
邹清运
胡财忺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Qianhai Huanrong Lianyi Information Technology Service Co Ltd
Original Assignee
Shenzhen Qianhai Huanrong Lianyi Information Technology Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Qianhai Huanrong Lianyi Information Technology Service Co Ltd filed Critical Shenzhen Qianhai Huanrong Lianyi Information Technology Service Co Ltd
Priority to CN201911155971.2A priority Critical patent/CN110990218B/zh
Publication of CN110990218A publication Critical patent/CN110990218A/zh
Application granted granted Critical
Publication of CN110990218B publication Critical patent/CN110990218B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3086Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves the use of self describing data formats, i.e. metadata, markup languages, human readable formats
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/323Visualisation of programs or trace data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • G06F16/24552Database cache management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/248Presentation of query results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/254Extract, transform and load [ETL] procedures, e.g. ETL data flows in data warehouses
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/80Database-specific techniques
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Quality & Reliability (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Library & Information Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了基于海量日志的可视化与告警的方法、装置、计算机设备及存储介质。该方法包括接收所采集的日志数据信息,将日志数据信息缓存至目标缓存区域得到缓存信息;将缓存信息进行过滤、组装以及拆分得到待存储信息;将待存储信息发送并存储至目标存储区域得到数据库信息;按读取模式周期读取数据库信息;判断数据库信息的日志索引中是否存在与关键字列表中所包括关键字相同的关键字;若日志索引中存在与关键字列表中所包括关键字相同的关键字,按告警模板生成告警信息并发送至接收端;读取数据库信息的日志索引,根据查询语句将日志索引对应生成索引展示图形。该方法丰富了日志可视化图形展示效果以及告警接收方式,并实现了告警抑制功能。

Description

基于海量日志的可视化与告警的方法、装置及计算机设备
技术领域
本发明涉及日志的可视化与告警领域,尤其涉及一种基于海量日志的可视化与告警的方法、装置、计算机设备及存储介质。
背景技术
目前业界对于日志管理的方法通常是Logstash+Elasticsearch+Kibana(ELK)的管理模式,其中Logstash收集日志,Elasticsearch存储、索引日志数据,Kibana对数据进行可视化。ELK方式使得日志管理变得非常简单,但是这种方式也存在着技术缺点与不足。
ELK方式的日志管理是通过Kibana自带的展示功能来实现日志的可视化,但原生Kibana图形插件少、效果一般,展示内容较为单一和缺乏扩展性;日志告警一般通过脚本化定制,告警是靠定制化脚本过滤关键字,扩展性差,不灵活,而且没有告警抑制的功能。
发明内容
本发明实施例提供了基于海量日志的可视化与告警的方法、装置、及计算机设备,旨在解决目前现有技术中日志管理的可视化展示内容单一、告警不能实现抑制,以及日志的可视化和告警的扩展性差的问题。
第一方面,本发明实施例提供了一种基于海量日志的可视化与告警的方法,其包括:
接收所采集的日志数据信息;
将所述日志数据信息缓存至预先设置的目标缓存区域,得到缓存信息;
将所述缓存信息进行数据信息过滤、数据信息组装以及数据信息拆分,得到待存储信息;
将所述待存储信息发送并存储至预先设置的目标存储区域,得到数据库信息;
按预先设置的读取模式周期读取所述数据库信息;
判断所述数据库信息的日志索引中是否存在与预先设置的关键字列表中所包括关键字相同的关键字;
若所述日志索引中存在与所述关键字列表中所包括关键字相同的关键字,按预先设置的告警模板生成告警信息,向预先设置的接收端发送告警信息;
读取所述数据库信息的日志索引,根据预先设置的查询语句将所述日志索引对应生成索引展示图形。
第二方面,本发明实施例提供了一种基于海量日志的可视化与告警的装置,其包括:
接收单元,用于接收所采集的日志数据信息;
缓存单元,用于将所述日志数据信息缓存至预先设置的目标缓存区域,得到缓存信息;
处理单元,用于将所述缓存信息进行数据信息过滤、数据信息组装以及数据信息拆分,得到待存储信息;
存储单元,用于将所述待存储信息发送并存储至预先设置的目标存储区域,得到数据库信息;
读取单元,用于按预先设置的读取模式周期读取所述数据库信息;
判断单元,用于判断所述数据库信息的日志索引中是否存在与预先设置的关键字列表中所包括关键字相同的关键字;
告警单元,用于按预先设置的告警模板生成告警信息,向预先设置的接收端发送告警信息;
图形展示单元,用于根据预先设置的查询语句将所述日志索引对应生成索引展示图形。
第三方面,本发明实施例又提供了一种计算机设备,其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的基于海量日志的可视化与告警的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其中所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行上述第一方面所述的基于海量日志的可视化与告警的方法。
本发明实施例提供了一种基于海量日志的可视化与告警的方法、装置、计算机设备及存储介质,该方法包括接收所采集的日志数据信息;将所述日志数据信息缓存至预先设置的目标缓存区域,得到缓存信息;将所述缓存信息进行数据信息过滤、数据信息组装以及数据信息拆分,得到待存储信息;将所述待存储信息发送并存储至预先设置的目标存储区域,得到数据库信息;按预先设置的读取模式周期读取所述数据库信息;判断所述数据库信息的日志索引中是否存在与预先设置的关键字列表中所包括关键字相同的关键字;若所述日志索引中存在与所述关键字列表中所包括关键字相同的关键字,按预先设置的告警模板生成告警信息,向预先设置的接收端发送告警信息;读取所述数据库信息的日志索引,根据预先设置的查询语句将所述日志索引对应生成索引展示图形。
该方法提供图形丰富的定制化展示以及告警抑制功能,在日志管理中实现了清晰、美观、易读的可视化展示效果,还可以接近实时告警、避免告警泛滥和丰富告警接收方式。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于海量日志的可视化与告警的方法的应用场景示意图;
图2为本发明实施例提供的基于海量日志的可视化与告警的方法的流程示意图;
图3为本发明实施例提供的基于海量日志的可视化与告警的方法的子流程示意图;
图4为本发明实施例提供的基于海量日志的可视化与告警的方法的另一子流程示意图;
图5为本发明实施例提供的基于海量日志的可视化与告警的装置的示意性框图;
图6为本发明实施例提供的基于海量日志的可视化与告警的装置的子单元示意性框图;
图7为本发明实施例提供的基于海量日志的可视化与告警的装置的另一子单元示意性框图;
图8为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1和图2,图1为本发明实施例提供的基于海量日志的可视化与告警的方法的应用场景示意图;图2为本发明实施例提供的基于海量日志的可视化与告警的方法的流程示意图,该基于海量日志的可视化与告警的方法应用于服务器中,该方法通过安装于服务器中的应用软件进行执行。
如图2所示,该方法包括步骤S110~S180。
S110、接收所采集的日志数据信息。
在本实施例中,具体的应用场景是基于海量日志的管理工作,需要对日常服务器的日志数据信息管理,并对其中错误信息实现及时告警和日志数据信息可视化的图形展示。其中,Filebeat是本地文件的日志数据采集器,Filebeat监视日志目录或特定日志文件,Filebeat会在服务器端采集日志数据信息,Filebeat启动时,会启动一个或多个查找器,查看日志管理员为日志文件指定的本地路径。通过勘测组件Prospector和收割组件Harvester协同工作,监视读取日志目录或特定日志文件的事件数据变动,发送至日志管理员为Filebeat预先设置的输出***。具体应用时,调用日志数据采集器在对应目标服务器采集日志数据信息,根据预先的设置接收所采集的日志数据信息。
S120、缓存所述采集的日志数据信息。
在本实施例中,为了避免接收日志数据采集器Filebeat在服务器端所采集的海量日志文件数据信息造成日志收集管理工具Logstash的性能瓶颈,在接收日志数据采集器Filebeat所采集到的日志文件信息后按日志管理员的预先设置的目标缓存区域,发送至分布式发布订阅消息***Kafka的消息类别Topic,以缓存所述采集的日志数据信息,得到缓存信息,逐步让日志收集管理工具Logstash来读取。
将所述日志数据信息缓存至Kafka是往Topic写入所述日志数据信息,以供所述日志收集管理工具Logstash从Topic逐步读取所述日志数据信息。其中,所述分布式发布订阅消息***Kafka是一种高吞吐量的分布式发布订阅消息***具有高性能、持久化、多副本备份、横向扩展能力的优势。一个Topic实际是由多个Partition组成的,单个Partition内保证消息的有序,当分布式发布订阅消息***Kafka缓存日志数据信息遇到瓶颈时,***内可以通过增加Partition的数量来进行横向扩容。
S130、将所述缓存信息进行数据信息过滤、数据信息组装以及数据信息拆分,得到待存储信息。
当将所述日志数据信息缓存至预先设置的目标缓存区域,得到所述缓存信息之后,所述缓存信息会逐步被所述日志收集管理工具Logstash读取,以将所述缓存信息进行数据信息过滤、数据信息组装以及数据信息拆分,得到待存储信息。
所述日志收集管理工具Logstash是一个收集日志的工具,通过部署在应用程序运行节点上的代理Agent来收集、解析、过滤所述缓存信息。其中,日志收集管理工具Logstash的数据处理过程通过定义Pipeline配置文件,设置需要使用的插件Inputs、插件Filters、插件Outputs和插件Codecs以实现所述日志数据信息特定的数据采集,数据处理,数据输出;进一步,通过输入插件获取所述缓存信息,所述插件Inputs用于获取所述缓存信息;然后将所述缓存信息发送至过滤器插件,通过所述插件Filters所述过滤器插件中预先设置的筛选条件对所述缓存信息进行筛选,得到筛选后信息,将所述筛选后信息通过预设的数据组装格式进行组装,得到组装后信息,将所述组装后信息通过预先设置的正则表达式进行切割拆分,得到拆分后信息。其中,正则表达式是一种文本模式,该模式描述在搜索文本时要匹配的一个或多个字符串,进而表达对字符串的一种过滤逻辑。由所述拆分后信息中包括的各信息组成待存储信息;所述待存储信息经所述插件Outputs按预先设置的路径发送至***目标存储区域Elasticsearch。
S140、将所述待存储信息发送并存储至预先设置的目标存储区域,得到数据库信息。
在本实施例中,所述日志收集管理工具Logstash将所述缓存信息进行数据信息过滤、数据信息组装以及数据信息拆分后组成所述待存储信息,所述待存储信息按预先设置被发送至所述目标存储区域Elasticsearch,以存储所述待存储信息得到所述数据库信息。
所述目标存储区域Elasticsearch是一个基于Lucene的搜索服务器,它基于RESTful web接口提供了一个分布式多用户能力的全文搜索引擎,能够实现分布式、高扩展、高实时的搜索与数据分析,通过HTTP对存储在Elasticsearch的所述数据库信息生成所述数据库信息的日志索引。
在一实施例中,如图3所示,步骤S140还包括:
S141、根据所述数据库信息的写入事件时间,生成所述数据库信息的对应索引名。
在本实施例中,当将所述待存储信息发送并存储至预先设置的目标存储区域,得到数据库信息之后,Elasticsearch作为搜索服务器可根据所述数据库信息自动创建索引,所述数据库信息在发送至所述目标存储区域之后,服务器会根据所述数据库信息的写入事件时间,创建生成所述数据库信息的对应索引名。
S142、按所述索引名将所述数据库信息映射至对应的目标索引中。
在本实施例中,根据所述数据库信息的写入事件时间,生成所述数据库信息的对应索引名之后,Elasticsearch有提供索引模板,按所述索引名将所述数据库信息映射至对应的目标索引中。其中,所述目标存储区域Elasticsearch本身作为一个搜索服务器,可将自身的数据库作为数据源对所述数据库信息进行实时搜索和分析创建生成所述数据库信息的日志索引。
S150、按预先设置的读取模式周期读取所述数据库信息。
在本实施例中,当完成将所述待存储信息发送并存储至所述目标存储区域Elasticsearch得到所述数据库信息之后,采用Elastaler作为告警后台,按预先设置的读取模式,Elastaler每隔10s读取一次所述数据库信息。其中,Elastaler还提供了告警抑制功能,避免告警泛滥。该方法使用Elastaler作为告警后台使得告警更加及时,规则配置灵活丰富了告警接收方式的同时还提供了告警抑制,提高日志管理员以及运维开发人员的工作效率。
S160、判断所述数据库信息的日志索引中是否存在与预先设置的关键字列表中所包括关键字相同的关键字。
在本实施例中,告警后台Elastaler根据预先设置的读取模式,以10s为周期读取所述数据库信息,Elasticsearch以所述数据库信息为数据源创建生成所述数据库信息的日志索引,将所述数据库信息的日志索引与日志管理员预先设置的关键字列表进行比对判断,判断所述数据库信息的日志索引中是否存在与预先设置的关键字列表中所包括关键字相同的关键字。
S170、若所述日志索引中存在与所述关键字列表中所包括关键字相同的关键字,按预先设置的告警模板生成告警信息,向预先设置的接收端发送告警信息。
判断所述数据库信息的日志索引中是否存在与预先设置的关键字列表中所包括关键字相同的关键字,若所述日志索引中存在与所述关键字列表中所包括关键字相同的关键字,告警后台Elastaler触发告警,按预先设置的告警模板生成告警信息,向预先设置的接收端发送告警信息,即告警后台Elastaler会按日志管理员预先设定的告警模板对应的报警类型生成告警信息并发送至日志管理员或者运维开发人员。其中,Elastaler中也有多种警报类型可实现定制化告警以及告警的接收方式,如实现邮件告警、定制化微信推送告警等。
若所述数据库信息的日志索引中不存在与预先设置的关键字列表中所包括关键字相同的关键字,结束本次所述数据库信息的日志索引与日志管理员预先设置的关键字列表进行比对判断。
S180、读取所述数据库信息的日志索引,根据预先设置的查询语句将所述日志索引对应生成索引展示图形。
为了日志数据信息的图形展示实现丰富的可视化效果和较强的定制化,在该方法中调用开源数据可视化工具Grafana来实现日志数据信息的可视化图形展示,当将所述待存储信息发送并存储至预先设置的目标存储区域,得到数据库信息之后,开源数据可视化工具Grafana读取所述数据库信息的日志索引,根据日志管理员预先设置的定制化查询语句生成相应的图形展示。
其中,开源数据可视化工具Grafana是一款采用go语言编写的开源应用,用于大规模指标数据的可视化展现而且同时支持许多不同的数据源,包括在该方法中所述目标存储区域Elasticsearch,因此使用开源数据可视化工具Grafana可以给所述数据库信息提供图形丰富和定制化的展示。
在一实施例中,如图4所示,步骤S180还包括:
S181、调用与可视化图形生成对应的可视化查询语句。
在实施例中,需要以存储在Elasticsearch的所述数据库信息做可视化展示,需要Grafana的仪表盘基于该数据源来展示,所以首先应该操作可视化工具Grafana配置Elasticsearch的所述数据库信息作为数据源,调用与可视化图形生成对应的可视化查询语句查询所述数据库信息。
S182、通过所述可视化查询语句读取所述数据库信息的日志索引,得到日志索引中的目标索引信息。
在本实施例中,给所述可视化工具Grafana配置Elasticsearch的所述数据库信息作为数据源之后,通过所述可视化查询语句读取所述数据库信息的日志索引,所述可视化工具Grafana根据所述目标索引按日志管理员的实际需求设置模板变量进行自定义筛选字段,得到日志索引中的目标索引信息。
S183、调用可视化图形生成语句,将所述目标索引信息对应生成索引展示图形。
在本实施例中,调用可视化图形生成语句,将所述目标索引信息对应生成索引展示图形。配置开源数据可视化工具的数据源,根据日志管理员对日志图形化展示的要求预先设置Grafana的可视化方式以及调整相应变量数据,建立相应的仪表盘,实现定制化海量日志数据信息的可视化。其中,可视化工具Grafana的可视化方式有很多种,如Graph、Table、Pie chart等。
本发明实施例还提供一种基于海量日志的可视化与告警的装置,该基于海量日志的可视化与告警的装置用于执行前述基于海量日志的可视化与告警的方法的任一实施例。具体地,请参阅图5,图5是本发明实施例提供的基于海量日志的可视化与告警的装置的示意性框图。该基于海量日志的可视化与告警的装置100可以配置于服务器中。
如图5所示,基于海量日志的可视化与告警的装置100包括接收单元110、缓存单元120、处理单元130、存储单元140、读取单元150、判断单元160、告警单元170和图形展示单元180。
接收单元110,用于接收所采集的日志数据信息。
在本实施例中,具体的应用场景是基于海量日志的管理工作,需要对日常服务器的日志数据信息管理,并对其中错误信息实现及时告警和日志数据信息可视化的图形展示。通过调用日志数据采集器在对应目标服务器采集日志数据信息,再接收所述日志数据采集器Filebeat采集的日志数据信息。其中,日志数据采集器Filebeat在服务器端采集日常海量日志数据信息,监视读取日志目录或特定日志文件的事件数据变动。
缓存单元120,用于将所述日志数据信息缓存至预先设置的目标缓存区域,得到缓存信息。
在本实施例中,接收所述日志数据采集器Filebeat所采集的日志数据信息之后,将所述日志数据信息发送并存储至预先配置的目标缓存区域Kafka,所述日志数据信息写入分布式发布订阅消息***Kafka的消息类别Topic,得到所述缓存信息,以供日志收集管理工具Logstash逐步读取,从而避免日志数据采集器Filebeat在服务器端采集的海量日志数据信息造成日志收集管理工具Logstash的性能瓶颈。
处理单元130,用于将所述缓存信息进行数据信息过滤、数据信息组装以及数据信息拆分,得到待存储信息。
在本实施例中,当将所述日志数据信息缓存至预先设置的目标缓存区域,得到所述缓存信息之后,所述日志收集管理工具Logstash会逐步从所述分布式发布订阅消息***Kafka的Topic中读取所述缓存信息,以将所述缓存信息进行数据信息过滤、数据信息组装以及数据信息拆分,得到待存储信息。所述待存储信息会通过输出插件,根据日志管理员预先的设置发送至目标存储区域Elasticsearch。
存储单元140,用于将所述待存储信息发送并存储至预先设置的目标存储区域,得到数据库信息。
在本实施例中,所述日志收集管理工具Logstash将所述缓存信息进行数据信息过滤、数据信息组装以及数据信息拆分后组成所述待存储信息,通过输出插件,根据日志管理员预先的设置将所述待存储信息按预先设置发送至所述目标存储区域Elasticsearch,以存储所述待存储信息得到所述数据库信息。
在一实施例中,如图6所示,存储单元140包括:
索引名创建单元141,用于根据所述数据库信息的写入事件时间,生成所述数据库信息的对应索引名。
在本实施例中,当将所述待存储信息发送并存储至预先设置的目标存储区域,得到数据库信息之后,Elasticsearch作为搜索服务器可根据所述数据库信息自动创建索引,所述数据库信息在发送至所述目标存储区域之后,服务器会根据所述数据库信息的写入事件时间,创建生成所述数据库信息的对应索引名。
映射单元142,用于按所述索引名将所述数据库信息映射至对应的目标索引中。
在本实施例中,根据所述数据库信息的写入事件时间,生成所述数据库信息的对应索引名之后,Elasticsearch有提供索引模板,按所述索引名将所述数据库信息映射至对应的目标索引中。
读取单元150,用于按预先设置的读取模式周期读取所述数据库信息。
在本实施例中,当完成将所述待存储信息发送并存储至所述目标存储区域Elasticsearch得到所述数据库信息之后,采用Elastaler作为告警后台,按预先设置的读取模式,Elastaler每隔10s读取一次所述数据库信息。其中,Elastaler还提供了告警抑制功能,避免告警泛滥。该方法使用Elastaler作为告警后台使得告警更加及时,规则配置灵活丰富了告警接收方式的同时还提供了告警抑制,提高日志管理员以及运维开发人员的工作效率。
判断单元160,用于判断所述数据库信息的日志索引中是否存在与预先设置的关键字列表中所包括关键字相同的关键字。
在本实施例中,告警后台Elastaler根据预先设置的读取模式,以10s为周期读取所述数据库信息,Elasticsearch以所述数据库信息为数据源创建生成所述数据库信息的日志索引,将所述数据库信息的日志索引与日志管理员预先设置的关键字列表进行比对判断,判断所述数据库信息的日志索引中是否存在与预先设置的关键字列表中所包括关键字相同的关键字。
告警单元170,用于按预先设置的告警模板生成告警信息,向预先设置的接收端发送告警信息。
在本实施例中,通过告警后台Elastaler以10s为周期读取所述数据库信息,将所述数据库信息的日志索引与日志管理员预先设置的关键字列表进行比对判断,判断所述数据库信息的日志索引中是否存在与预先设置的关键字列表中所包括关键字相同的关键字,若所述日志索引中存在与所述关键字列表中所包括关键字相同的关键字,告警后台Elastaler触发告警,按预先设置的告警模板生成告警信息,向预先设置的接收端发送告警信息;
若所述数据库信息的日志索引中不存在与预先设置的关键字列表中所包括关键字相同的关键字,结束本次所述数据库信息的日志索引与日志管理员预先设置的关键字列表进行比对判断。
图形展示单元180,用于根据预先设置的查询语句将所述日志索引对应生成索引展示图形。
在本实施例中,为了使得海量日志数据信息实现丰富的可视化图形展示,该方法中调用开源数据可视化工具Grafana来实现日志数据信息的可视化图形展示。当将所述待存储信息发送并存储至预先设置的目标存储区域,得到数据库信息之后,开源数据可视化工具Grafana读取Elasticsearch的所述数据库信息的日志索引并根据日志管理员预先设置的定制化查询语句生成相应的图形展示。
在一实施例中,如图7所示,图形展示单元180包括:
181、第一调用单元,用于调用与可视化图形生成对应的可视化查询语句。
在实施例中,需要以存储在Elasticsearch的所述数据库信息做可视化展示,需要Grafana的仪表盘基于该数据源来展示,所以首先应该操作可视化工具Grafana配置Elasticsearch的所述数据库信息作为数据源,调用与可视化图形生成对应的可视化查询语句查询所述数据库信息。
182、查询单元,用于通过所述可视化查询语句读取所述数据库信息的日志索引,得到日志索引中的目标索引信息。
在本实施例中,给所述可视化工具Grafana配置Elasticsearch的所述数据库信息作为数据源之后,通过所述可视化查询语句读取所述数据库信息的日志索引,所述可视化工具Grafana根据所述目标索引按日志管理员的实际需求设置模板变量进行自定义筛选字段,得到日志索引中的目标索引信息。
183、第二调用单元,用于调用可视化图形生成语句,将所述目标索引信息对应生成索引展示图形。
在本实施例中,调用可视化图形生成语句,将所述目标索引信息对应生成索引展示图形。配置开源数据可视化工具Grafana的数据源,根据日志管理员对日志图形化展示的要求预先设置Grafana的可视化方式以及调整相应变量数据,建立相应的仪表盘,实现海量日志数据信息的定制化图形展示。其中,可视化工具Grafana的可视化方式有很多种,如Graph、Table、Pie chart等。
上述基于海量日志的可视化与告警的装置可以实现为计算机程序的形式,该计算机程序可以在如图8所示的计算机设备上运行。
请参阅图8,图8是本发明实施例提供的计算机设备的示意性框图。该计算机设备500是服务器,服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
参阅图8,该计算机设备500包括通过***总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作***5031和计算机程序5032。该计算机程序5032被执行时,可使得处理器502执行基于海量日志的可视化与告警的方法。
该处理器502用于提供计算和控制能力,支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行基于海量日志的可视化与告警的方法。
该网络接口505用于进行网络通信,如提供数据信息的传输等。本领域技术人员可以理解,图8中示出的结构,仅仅是与本发明方案相关的部分结构的框图,并不构成对本发明方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现本发明实施例公开的基于海量日志的可视化与告警的方法。
本领域技术人员可以理解,图8中示出的计算机设备的实施例并不构成对计算机设备具体构成的限定,在其他实施例中,计算机设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。例如,在一些实施例中,计算机设备可以仅包括存储器及处理器,在这样的实施例中,存储器及处理器的结构及功能与图8所示实施例一致,在此不再赘述。
应当理解,在本发明实施例中,处理器502可以是中央处理单元(CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
在本发明的另一实施例中提供计算机可读存储介质。该计算机可读存储介质可以为非易失性的计算机可读存储介质。该计算机可读存储介质存储有计算机程序,其中计算机程序被处理器执行时实现本发明实施例公开的基于海量日志的可视化与告警的方法。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的设备、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为逻辑功能划分,实际实现时可以有另外的划分方式,也可以将具有相同功能的单元集合成一个单元,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (5)

1.一种基于海量日志的可视化与告警的方法,其特征在于,包括:
接收所采集的日志数据信息,其中,调用Filebeat在对应目标服务器采集日志数据信息,根据预先的设置接收所采集的日志数据信息,所述Filebeat是本地文件的日志数据采集器,所述Filebeat启动时,会启动一个或多个查找器,以查看日志管理员为日志文件指定的本地路径,从而收集所述日志数据信息;
将所述日志数据信息缓存至预先设置的目标缓存区域,得到缓存信息;
通过输入插件获取所述缓存信息;
所述输入插件将所述缓存信息发送至过滤器插件,通过所述过滤器插件中预先设置的筛选条件对所述缓存信息进行筛选,得到筛选后信息;
将所述筛选后信息通过预设的数据组装格式进行组装,得到组装后信息;
将所述组装后信息通过预先设置的正则表达式进行切割拆分,得到拆分后信息,由所述拆分后信息中包括的各信息组成待存储信息;
将所述待存储信息发送并存储至预先设置的目标存储区域,得到数据库信息;
根据所述数据库信息的写入事件时间,生成所述数据库信息的对应索引名;
按所述索引名将所述数据库信息映射至对应的目标索引中;
按预先设置的读取模式周期读取所述数据库信息;
判断所述数据库信息的日志索引中是否存在与预先设置的关键字列表中所包括关键字相同的关键字;
若所述日志索引中存在与所述关键字列表中所包括关键字相同的关键字,按预先设置的告警模板生成告警信息,向预先设置的接收端发送告警信息;
调用与可视化图形生成对应的可视化查询语句;
通过所述可视化查询语句读取所述数据库信息的日志索引,得到日志索引中的目标索引信息;
调用可视化图形生成语句,将所述目标索引信息对应生成索引展示图形,其中,配置开源数据可视化工具的数据源,根据日志管理员对日志图形化展示的要求预先设置Grafana的可视化方式以及调整相应变量数据,建立相应的仪表盘,以定制化海量日志数据信息的可视化。
2.根据权利要求1所述的基于海量日志的可视化与告警的方法,其特征在于,所述接收所采集的日志数据信息之前,还包括:
调用多个日志数据采集器,将多个日志数据采集器分别发送至对应的目标服务器以采集日志数据信息。
3.一种基于海量日志的可视化与告警的装置,其特征在于,包括:
接收单元,用于接收所采集的日志数据信息,其中,调用Filebeat在对应目标服务器采集日志数据信息,根据预先的设置接收所采集的日志数据信息,所述Filebeat是本地文件的日志数据采集器,所述Filebeat启动时,会启动一个或多个查找器,以查看日志管理员为日志文件指定的本地路径,从而收集所述日志数据信息;
缓存单元,用于将所述日志数据信息缓存至预先设置的目标缓存区域,得到缓存信息;
处理单元,用于通过输入插件获取所述缓存信息;所述输入插件将所述缓存信息发送至过滤器插件,通过所述过滤器插件中预先设置的筛选条件对所述缓存信息进行筛选,得到筛选后信息;将所述筛选后信息通过预设的数据组装格式进行组装,得到组装后信息;将所述组装后信息通过预先设置的正则表达式进行切割拆分,得到拆分后信息,由所述拆分后信息中包括的各信息组成待存储信息;
存储单元,用于将所述待存储信息发送并存储至预先设置的目标存储区域,得到数据库信息;
索引名创建单元,用于根据所述数据库信息的写入事件时间,生成所述数据库信息的对应索引名;
映射单元,用于按所述索引名将所述数据库信息映射至对应的目标索引中;
读取单元,用于按预先设置的读取模式周期读取所述数据库信息;
判断单元,用于判断所述数据库信息的日志索引中是否存在与预先设置的关键字列表中所包括关键字相同的关键字;
告警单元,用于按预先设置的告警模板生成告警信息,向预先设置的接收端发送告警信息;
第一调用单元,用于调用与可视化图形生成对应的可视化查询语句;
查询单元,用于通过所述可视化查询语句读取所述数据库信息的日志索引,得到日志索引中的目标索引信息;
第二调用单元,用于调用可视化图形生成语句,将所述目标索引信息对应生成索引展示图形,其中,配置开源数据可视化工具的数据源,根据日志管理员对日志图形化展示的要求预先设置Grafana的可视化方式以及调整相应变量数据,建立相应的仪表盘,以定制化海量日志数据信息的可视化。
4.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至2中任一项所述的基于海量日志的可视化与告警的方法。
5.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行如权利要求1至2任一项所述的基于海量日志的可视化与告警的方法。
CN201911155971.2A 2019-11-22 2019-11-22 基于海量日志的可视化与告警的方法、装置及计算机设备 Active CN110990218B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911155971.2A CN110990218B (zh) 2019-11-22 2019-11-22 基于海量日志的可视化与告警的方法、装置及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911155971.2A CN110990218B (zh) 2019-11-22 2019-11-22 基于海量日志的可视化与告警的方法、装置及计算机设备

Publications (2)

Publication Number Publication Date
CN110990218A CN110990218A (zh) 2020-04-10
CN110990218B true CN110990218B (zh) 2023-12-26

Family

ID=70085919

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911155971.2A Active CN110990218B (zh) 2019-11-22 2019-11-22 基于海量日志的可视化与告警的方法、装置及计算机设备

Country Status (1)

Country Link
CN (1) CN110990218B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111581054B (zh) * 2020-04-30 2024-04-09 重庆富民银行股份有限公司 一种基于elk的日志埋点的业务分析告警***及方法
CN111881011A (zh) * 2020-07-31 2020-11-03 网易(杭州)网络有限公司 日志管理方法、平台、服务器及存储介质
CN111737091B (zh) * 2020-08-27 2020-12-08 北京安帝科技有限公司 一种日志处理方法、装置及可读介质
CN112631885A (zh) * 2020-12-18 2021-04-09 武汉市烽视威科技有限公司 一种提前预判故障并自动修复的方法及***
CN112685376A (zh) * 2020-12-23 2021-04-20 国网宁夏电力有限公司信息通信公司 海量日志数据分析方法及***
CN112632070B (zh) * 2020-12-23 2022-11-25 中国人民解放军63921部队 海量多元化复杂航天器仿真数据的存储复盘方法和装置
CN112667574A (zh) * 2020-12-23 2021-04-16 国网宁夏电力有限公司信息通信公司 海量日志数据筛选方法及***
CN112732663A (zh) * 2020-12-30 2021-04-30 浙江大华技术股份有限公司 一种日志信息处理方法及装置
CN112767636A (zh) * 2021-01-14 2021-05-07 广州穗能通能源科技有限责任公司 消防告警方法、装置、计算机设备和存储介质
CN113138896A (zh) * 2021-04-25 2021-07-20 中国工商银行股份有限公司 一种应用运行情况的监控方法、装置和设备
CN113904913A (zh) * 2021-08-19 2022-01-07 济南浪潮数据技术有限公司 一种基于管道的告警处理的方法、装置、设备、存储介质
CN114143178B (zh) * 2021-12-03 2024-06-04 ***数智科技有限公司 结合tr069协议的告警根源定位可视化方法及装置
CN114500255B (zh) * 2022-03-01 2024-03-15 北京百度网讯科技有限公司 一种日志数据上报方法、装置、设备及存储介质
CN115348161A (zh) * 2022-08-16 2022-11-15 中国电信股份有限公司 日志告警信息生成方法、装置、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107800592A (zh) * 2017-11-09 2018-03-13 郑州云海信息技术有限公司 一种服务器测试结果采集方法
CN108733538A (zh) * 2018-06-26 2018-11-02 郑州云海信息技术有限公司 一种基于ElastAlert的可视化日志告警***和方法
CN109542733A (zh) * 2018-12-05 2019-03-29 焦点科技股份有限公司 一种高可靠的实时日志收集及可视化检索方法
CN110191005A (zh) * 2019-06-25 2019-08-30 北京九章云极科技有限公司 一种告警日志处理方法及***
CN110362544A (zh) * 2019-05-27 2019-10-22 中国平安人寿保险股份有限公司 日志处理***、日志处理方法、终端及存储介质
CN110457178A (zh) * 2019-07-29 2019-11-15 江苏艾佳家居用品有限公司 一种基于日志采集分析的全链路监控告警方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107800592A (zh) * 2017-11-09 2018-03-13 郑州云海信息技术有限公司 一种服务器测试结果采集方法
CN108733538A (zh) * 2018-06-26 2018-11-02 郑州云海信息技术有限公司 一种基于ElastAlert的可视化日志告警***和方法
CN109542733A (zh) * 2018-12-05 2019-03-29 焦点科技股份有限公司 一种高可靠的实时日志收集及可视化检索方法
CN110362544A (zh) * 2019-05-27 2019-10-22 中国平安人寿保险股份有限公司 日志处理***、日志处理方法、终端及存储介质
CN110191005A (zh) * 2019-06-25 2019-08-30 北京九章云极科技有限公司 一种告警日志处理方法及***
CN110457178A (zh) * 2019-07-29 2019-11-15 江苏艾佳家居用品有限公司 一种基于日志采集分析的全链路监控告警方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ELK实现日志监控告警;yeweiouyang;《CSDN博客》;20170209;1-8 *
elk引入redis kafka;badudd;《CSDN博客》;20191006;1-3 *

Also Published As

Publication number Publication date
CN110990218A (zh) 2020-04-10

Similar Documents

Publication Publication Date Title
CN110990218B (zh) 基于海量日志的可视化与告警的方法、装置及计算机设备
CN111241078B (zh) 数据分析***、数据分析的方法及装置
US11687515B1 (en) Time selection to specify a relative time for event display
US11614856B2 (en) Row-based event subset display based on field metrics
US20210042306A1 (en) Querying an archive for a data store
US11405301B1 (en) Service analyzer interface with composite machine scores
US20200160297A1 (en) Tracking processed machine data
US20200067790A1 (en) Configuring the generation of ephemeral event streams by remote capture agents
US20190213206A1 (en) Systems and methods for providing dynamic indexer discovery
US20200117674A1 (en) Creating a correlation search
US11086897B2 (en) Linking event streams across applications of a data intake and query system
US9582585B2 (en) Discovering fields to filter data returned in response to a search
US9922114B2 (en) Systems and methods for distributing indexer configurations
US20180329932A1 (en) Identification of distinguishing compound features extracted from real time data streams
US20180089188A1 (en) Hash bucketing of data
US20150293954A1 (en) Grouping and managing event streams generated from captured network data
US20090204949A1 (en) System, method and program product for dynamically adjusting trace buffer capacity based on execution history
CN113360554B (zh) 一种数据抽取、转换和加载etl的方法和设备
US11477263B2 (en) Identifying un-deployed features of an application
US10778710B2 (en) User configurable alert notifications applicable to search query results
JPWO2007052327A1 (ja) 性能異常分析装置、方法及びプログラム、並びに性能異常分析装置の分析結果表示方法
CN106802922B (zh) 一种基于对象的溯源存储***及方法
Barberis et al. ATLAS Eventlndex monitoring system using the Kibana analytics and visualization platform
US11995052B1 (en) System and method for categorical drift detection
Viola et al. Monitoring and Analytics at INFN Tier-1: the next step

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant