dmli的博客小屋

专注IT运维

graylog拾遗

上一篇,对graylog的一些经验总结。

1、收集java堆栈信息

graylog默认按行收入日志,因此java的堆栈信息会被拆开成N行,我们可以使用正则表达式过滤来完成堆栈收集:

image.png

效果如下:

image.png

2、善用自定义字段

在实际使用过程中,我们经常需要收集多个环境的相同应用,比如机房A的nginx和机房B的nginx日志。如果只定义了一个collector tag,那就无法有效区分出哪些日志是哪个环境产生的。这时我们可以添加自定义字段,仿照数据库查询一样,使用AND条件筛选日志。

image.png

配置好后,我们使用以下语句进行日志搜索:

env:gd AND catgory:core_server AND message:"hello world"

3、手动清理graylog数据

进入菜单 systemc -- indices -- Default index set -- Edit -- Index Rotation Configuration

每个索引1G大小,保留200个,滚动模式为“删除”:

image.png

如果想立即删除日志,则可以使用如下命令,在服务器端直接进行删除:

# 查看当前索引
curl http://192.168.1.100:9200/_cat/indices
# 删除指定索引
curl -XDELETE http://10.1.10.123:9200/graylog_0
curl -XDELETE curl -XDELETE http://10.1.10.123:9200/graylog_1


发表评论:

Copyright© dmli 2015-2019