1、收集访问日志

1)、首先是要在nginx里面配置日志格式化输出

    log_format  main  "$http_x_forwarded_for | $time_local | $request | $status | $body_bytes_sent | $request_body | $content_length | $http_referer | $http_user_agent |"

                      "$http_cookie | $remote_addr | $hostname | $upstream_addr | $upstream_response_time | $request_time" ;

    access_log  /var/log/nginx/access.log  main;

2)、接下来开始在logstash创建处理nginx的配置文件

input {

        file {

                path => ["/var/log/nginx/access.log"]

        }

}

filter {

        ruby {

                init => "@kname =['http_x_forwarded_for','time_local','request','status','body_bytes_sent','request_body','content_length','http_referer','http_user_agent','http_cookie','remote_addr','hostname','upstream_addr','upstream_response_time','request_time']"

                code => "new_event = LogStash::Event.new(Hash[@kname.zip(event.get('message').split('|'))])

                new_event.remove('@timestamp')

                event.append(new_event)

                "

        }

if [request] {

        ruby {

                init => "@kname = ['method','uri','verb']"

                code => "

                        new_event = LogStash::Event.new(Hash[@kname.zip(event.get('request').split(' '))])

                        new_event.remove('@timestamp')

                        event.append(new_event)

                "

        }

 }

if [uri] {

        ruby{

                init => "@kname = ['url_path','url_args']"

                code => "

                        new_event = LogStash::Event.new(Hash[@kname.zip(event.get('uri').split('?'))])

                        new_event.remove('@timestamp')

                        event.append(new_event)

                "

        }

 }

kv {

        prefix =>"url_"

        source =>"url_args"

        field_split =>"&"

        include_keys => ["uid","cip"]

        remove_field => ["url_args","uri","request"]

}

mutate {

        convert => [

                "body_bytes_sent","integer",

                "content_length","integer",

                "upstream_response_time","float",

                "request_time","float"

        ]

 }

date {

        match => [ "time_local","dd/MMM/yyyy:hh:mm:ss Z" ]

        locale => "en"

 }

}

output{stdout{}}

此处的例子借鉴ELKstack权威指南里面的例子,不过书中的例子有错,我这里修改好了,可以参考书籍39页和66页

github:https://github.com/weixinqing/Logstash-example/blob/master/initnginx.conf

3)、最后允许一下看一下效果所示:

{

                  "url_path" => "/",

           "body_bytes_sent" => ,

                  "@version" => "",

                   "message" => "- | 05/Mar/2019:16:21:40 +0800 | GET / HTTP/1.1 | 304 | 0 | - | - | - | Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 |- | 172.16.0.10 | elk-chaofeng07 | - | - | 0.000",

                      "host" => "ELK-chaofeng07",

               "http_cookie" => "- ",

             "upstream_addr" => " - ",

    "upstream_response_time" => 0.0,

                "@timestamp" => --05T08::.352Z,

                       "uri" => "/",

                   "request" => " GET / HTTP/1.1 ",

                      "path" => "/var/log/nginx/access.log",

                  "url_args" => nil,

                  "hostname" => " elk-chaofeng07 ",

                      "verb" => "HTTP/1.1",

           "http_user_agent" => " Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 ",

                "time_local" => " 05/Mar/2019:16:21:40 +0800 ",

              "request_body" => " - ",

               "remote_addr" => " 172.16.0.10 ",

                    "status" => " 304 ",

              "request_time" => 0.0,

                    "method" => "GET",

              "http_referer" => " - ",

                      "tags" => [

        [] "_dateparsefailure"

    ],

            "content_length" => ,

      "http_x_forwarded_for" => "- "

}

唯一不足的就是中间报了个错误,可以自行解决一下。

2、收集错误日志

定义logstash处理的配置文件

input{

        file {

                path => ["/var/log/nginx/error.log"]

        }

}

filter{

        grok {

                match => {"message" => "(?<datetime>\d\d\d\d/\d\d/\d\d \d\d:\d\d:\d\d) \[(?<errortype>\w+)\] \S+: \*\d+ (?<errormsg>[^,]+), \w+: %{IP:remotehost}, \w+: \w+, \w+: (?<request>[^,]+), \w+: \"%{IP:localhost}\""}

        }

        mutate {

                remove_field => ["message"]

        }

if [request] {

        ruby {

                init => "@kname = ['method','uri','verb']"

                code => "

                        new_event = LogStash::Event.new(Hash[@kname.zip(event.get('request').split(' '))])

                        new_event.remove('@timestamp')

                        event.append(new_event)

                "

        }

}

}

output{stdout{}}

查看一下效果:

{

      "@version" => "",

          "path" => "/var/log/nginx/error.log",

    "remotehost" => "172.16.0.10",

       "request" => "\"GET /8 HTTP/1.1\"",

          "verb" => "HTTP/1.1\"",

           "uri" => "/8",

          "host" => "ELK-chaofeng07",

     "localhost" => "172.16.0.57",

        "method" => "\"GET",

    "@timestamp" => --05T10::.377Z,

      "datetime" => "2019/03/05 18:43:53",

      "errormsg" => "open() \"/usr/share/nginx/html/8\" failed (2: No such file or directory)",

     "errortype" => "error"

}

Logstash收集nginx访问日志和错误日志的更多相关文章

  1. logstash收集nginx访问日志

    logstash收集nginx访问日志 安装nginx #直接yum安装: [root@elk-node1 ~]# yum install nginx -y 官方文档:http://nginx.org ...

  2. mysql基础之日志管理(查询日志、慢查询日志、错误日志、二进制日志、中继日志、事务日志)

    日志文件记录了MySQL数据库的各种类型的活动,MySQL数据库中常见的日志文件有 查询日志,慢查询日志,错误日志,二进制日志,中继日志 ,事务日志. 修改配置或者想要使配置永久生效需将内容写入配置文 ...

  3. 【夯实PHP基础】nginx php-fpm 输出php错误日志

    本文地址 原文地址 分享提纲: 1.概述 2.解决办法(解决nginx下php-fpm不记录php错误日志) 1. 概述 nginx是一个web服务器,因此nginx的access日志只有对访问页面的 ...

  4. nginx php-fpm 输出php错误日志

    nginx是一个web服务器,因此nginx的access日志只有对访问页面的记录,不会有php 的 error log信息. nginx把对php的请求发给php-fpm fastcgi进程来处理, ...

  5. nginx php-fpm 输出php错误日志(转)

    nginx是一个web服务器,因此nginx的access日志只有对访问页面的记录,不会有php 的 error log信息. nginx把对php的请求发给php-fpm fastcgi进程来处理, ...

  6. node 日志 log4js 错误日志记录

    SET DEBUG=mylog:* & npm start 原文出处:http://blog.fens.me/nodejs-log4js/ 1. 默认的控制台输出 我们使用express框架时 ...

  7. Redis的Errorlog或者启动日志(错误日志)的配置

    Errorlog或者是运行日志是任何一个软件的运行中异常诊断必看的文件之一,折腾Redis的过程中以为有默认的错误日志(或启动日志),不过一直没有发现类似的日志文件,在看了默认的配置文件之后,发现Re ...

  8. mysql 开发进阶篇系列 38 mysql日志之错误日志log-error

    一.mysql日志概述 在mysql中,有4种不同的日志,分别是错误日志,二进制日志(binlog日志),查询日志,慢查询日志.这此日志记录着数据库在不同方面的踪迹(区别sql server里只有er ...

  9. MySQL-五种日志(查询日志、慢查询日志、更新日志、二进制日志、错误日志)、备份及主从复制配置

    开启查询日志: 配置文件my.cnf: log=/usr/local/mysql/var/log.log 开启慢查询: 配置文件my.cnf: log-slow-queries=/usr/local/ ...

随机推荐

  1. Android应用系列:双击返回键退出程序

    前言 有一个很古老的应用技巧,一直被各种大大小小的app用得乐此不疲,那就是双击返回键退出程序.今天就写写它的实现代码,非常简单而且实用. 正文 双击返回键退出程序,一般有两种实现思路,一种是用一个布 ...

  2. 使用Spring Boot开发 “Hello World” Web应用

    环境准备 由于现在很多IDE都支持Maven, 所以我们将使用Maven构建该工程: 开始之前,需要先安装Java和Maven: 本工程将基于Spring Boot 1.4.3.RELEASE开发,推 ...

  3. Spring Cloud简介

    一.本文介绍 Web应用由最早的单体应用发展成为集群式的部署,再到现在的分布式系统.尤其是这两年分布式相关的技术发展的很快,一方面是以Dubbo为代表的,另一方面则是以Spring Cloud系列为代 ...

  4. win32进程概念之句柄表,以及内核对象.

    句柄表跟内核对象 一丶什么是句柄表什么是内核对象. 1.句柄表的生成 我们知道.我们使用CreateProcess 的时候会返回一个进程句柄.以及线程句柄. 其实在调用CreateProcess的时候 ...

  5. thinkphp常用标签总结

    三元运算标签 {$v['member_id'] == 1 ? 正常 : 不正常} volist标签 <volist name="data" id="v"& ...

  6. C# ListView解读

    一.ListView类 1.常用的基本属性: (1)FullRowSelect:设置是否行选择模式.(默认为false) 提示:只有在Details视图该属性才有意义. (2) GridLines:设 ...

  7. oracle的start with connect by prior

    oracle的start with connect by prior是根据条件递归查询"树",分为四种使用情况: 第一种:start with 子节点ID='...' connec ...

  8. Java 基础系列合集

    Java基础知识你知道多少? Java特性 Java三大特性:封装,继承,多态 Java 抽象类与接口 Java 浅拷贝和深拷贝 Java static和final Java 内部类.静态内部类.匿名 ...

  9. wcf json参数返回失败问题

    问题: 最近写了一个接口,提示连接失败,于是在本地发布了一下,然后模拟post请求进行本地调试,发现能正常进入接口,中间也没问题,一直走到最后一步return时,也能return,但是就是返回不了数据 ...

  10. mysql中数据类型后面的数字到底是什么?

    1.在mysql新建数据表的时候我们在数据类型后面经常会见到,或者添加数据,那么数据类型后面的数字到底是什么呢?之前以为int(3) 就代表最长数据就是3个字节,其实不是!! 我向num字段中插入: ...