ELK--filebeat nginx模块

Nginx模块

该nginx模块解析由Nginx HTTP服务器创建的访问和错误日​​志 。

当你运行这个模块的时候，它会执行一些任务：

• 设置日志文件的默认路径（但不用担心，可以覆盖默认值）
• 确保每个多行日志事件都作为单个事件发送
• 使用摄取节点来解析和处理日志行，将数据整形成适合在Kibana中可视化的结构
• 部署仪表板以可视化日志数据

启用模块：

./filebeat modules enable nginx

要查看启用和禁用模块的列表，请运行：

./filebeat modules list

建立初始环境：该setup命令加载用于写入Elasticsearch的推荐索引模板，并部署示例仪表板以在Kibana中可视化数据。这是一次性设置步骤

./filebeat setup -e

　　-e标志是可选的，并将输出发送到标准错误而不是syslog。

运行Filebeat：

./filebeat -e

　　

配置模块编辑
您可以nginx通过在 文件中指定变量设置来进一步优化模块 的行为modules.d/nginx.yml，或者在命令行中覆盖设置。
modules.d/nginx.yml 文件中设置路径以覆盖访问日志和错误日志的默认路径：

- module: nginx
  access:
    enabled: true
    var.paths: ["/path/to/log/nginx/access.log*"]
  error:
    enabled: true
    var.paths: ["/path/to/log/nginx/error.log*"]
要在命令行中指定相同的设置，可以使用：

./filebeat --modules nginx -M "nginx.access.var.paths=[/path/to/log/nginx/access.log*]" -M "nginx.error.var.paths=[/path/to/log/nginx/error.log*]"

access日志文件集设置

var.paths

指定在哪里查找日志文件的路径数组。如果留空，Filebeat将根据您的操作系统选择路径

或者像这样的命令行：

./filebeat -M "nginx.access.prospector.close_eof=true"

在这里，您将看到如何将-M选项一起使用--modules：

./filebeat --modules nginx -M "nginx.access.prospector.close_eof=true"

您可以使用通配符一次更改多个模块/文件集的变量或设置。例如，以下命令启用 模块close_eof中的所有文件集nginx：

./filebeat -M "nginx.*.prospector.close_eof=true"

以下命令启用close_eof由任何模块创建的所有探矿者：

./filebeat -M "*.*.prospector.close_eof=true"