配置Nginx 日志

Nginx 默认的access 日志为log格式,需要logstash 进行正则匹配和清洗处理,从而极大的增加了logstash的压力 所以我们Nginx 的日志修改为json 格式 。

Nginx access 日志和 Nginx error 日志

http {

    include       /etc/nginx/mime.types;

    default_type  application/octet-stream;

    log_format  json  '{"@timestamp":"$time_iso8601",'

                      '"server_addr":"$server_addr",'

                      '"hostname":"$hostname",'

                      '"remote_add":"$remote_addr",'

                      '"request_method":"$request_method",'

                      '"scheme":"$scheme",'

                      '"server_name":"$server_name",'

                      '"http_referer":"$http_referer",'

                      '"request_uri":"$request_uri",'

                      '"args":"$args",'

                      '"body_bytes_sent":$body_bytes_sent,'

                      '"status": $status,'

                      '"request_time":$request_time,'

                      '"upstream_response_time":"$upstream_response_time",'

                      '"upstream_addr":"$upstream_addr",'

                      '"http_user_agent":"$http_user_agent",'

                      '"https":"$https"'

                      '}';

    access_log  /var/log/nginx/access.log json;

针对不同的虚拟主机配置Nginx日志

access_log  /var/log/nginx/80.access.log json;

error_log  /var/log/nginx/80.error.log error;

access_log  /var/log/nginx/8001.access.log json;

error_log  /var/log/nginx/8001.error.log error;

Nginx error_log 类型

[ debug | info | notice | warn | error | crit ]

例如:error_log /var/log/nginx/8001.error.log crit;

解释:日志文件存储在/var/log/nginx/8001.error.log 文件中,错误类型为 crit ,也就是记录最少错误信息(debug最详细 crit最少);

filebeat 配置

针对*.access.log 和 *.error.log 的日志进行不同的标签封装

[root@elk-node1 nginx]# egrep -v "*#|^$" /etc/filebeat/filebeat.yml

filebeat.inputs:

- type: log

  enabled: true

  paths:

    - /var/log/nginx/*.access.log

  tags: ["nginx.access"]

- type: log

  paths:

    - /var/log/nginx/*.error.log

  tags: ["nginx.error"]

filebeat.config.modules:

  path: ${path.config}/modules.d/*.yml

  reload.enabled: false

setup.template.settings:

  index.number_of_shards: 3

setup.kibana:

output.logstash:

  hosts: ["192.168.99.186:6044"]

processors:

  - add_host_metadata: ~

  - add_cloud_metadata: ~

logstash 配置

查看logstash 安装已经安装插件

/usr/share/logstash/bin/logstash-plugin list

[root@elk-node2 ~]#/usr/share/logstash/bin/logstash-plugin list |grep geoip

logstash-filter-geoip

/usr/share/logstash/bin/logstash-plugin    install logstash-filter-geoip

Nginx 日志清洗规则

[root@elk-node2 ~]# cat /etc/logstash/conf.d/nginx.conf

input {

  beats {

    port => 6044

  }

}

filter {

    if "nginx.access" in [tags] {

        json {

            source => "message"

            remove_field => "message"

        }

        date {

            match => ["timestamp" , "dd/MMM/YYYY:HH:mm:ss Z" ]

        }

        useragent {

            target => "agent"

            source => "http_user_agent"

        }

        geoip {

             #target => "geoip"

             source => "remote_add"

             fields => ["city_name", "country_code2", "country_name", "region_name","longitude","latitude","ip"]

             add_field => ["[geoip][coordinates]","%{[geoip][longitude]}"]

             add_field => ["[geoip][coordinates]","%{[geoip][latitude]}"]

        }

        mutate {

            convert => ["[geoip][coordinates]","float"]

        }

    }

   else if "nginx.error" in [tags] {

        mutate {

            remove_field => ["@timestamp"]

        }

        grok {

            match => {"message" => "(?<datetime>%{YEAR}[./-]%{MONTHNUM}[./-]%{MONTHDAY}[- ]%{TIME}) \[%{LOGLEVEL:severity}\] %{POSINT:pid}#%{NUMBER}: %{GREEDYDATA:errormessage}(?:, client: (?<real_ip>%{IP}|%{HOSTNAME}))(?:, server: %{IPORHOST:domain}?)(?:, request: %{QS:request})?(?:, upstream: (?<upstream>\"%{URI}\"|%{QS}))?(?:, host: %{QS:request_host})?(?:, referrer: \"%{URI:referrer}\")?"}

        }

        date {

            match => ["datetime", "yyyy/MM/dd HH:mm:ss"]

            target => "@timestamp"

        }

        mutate {

            remove_field => ["message"]

        }

   }

}

output{

    stdout{codec => rubydebug}

    if "nginx.access" in [tags]{

        elasticsearch{

            index => "logstash-nginx.access-%{+YYYY.MM.dd}"

            hosts => ["192.168.99.186:9200"]

        }

    }

    else if "nginx.error" in [tags]{

        elasticsearch {

            index => "nginx.error-%{+YYYY.MM.dd}"

            hosts => ["192.168.99.186:9200"]

        }

    }

}

注意:source 可以是任意处理后的字段,需要注意的是 IP 必须是公网 IP,否则logstash 的返回的geoip字段为空

Logstash解析

Logstash 分为 Input、Output、Filter、Codec 等多种plugins。

  • Input:数据的输入源也支持多种插件,如elk官网的beats、file、graphite、http、kafka、redis、exec等等。
  • Output:数据的输出目的也支持多种插件,如本文的elasticsearch,当然这可能也是最常用的一种输出。以及exec、stdout终端、graphite、http、zabbix、nagios、redmine等等。
  • Filter:使用过滤器根据日志事件的特征,对数据事件进行处理过滤后,在输出。支持grok、date、geoip、mutate、ruby、json、kv、csv、checksum、dns、drop、xml等等。
  • Codec:编码插件,改变事件数据的表示方式,它可以作为对输入或输出运行该过滤。和其它产品结合,如rubydebug、graphite、fluent、nmap等等。

配置文件的含义

input

filebeat 传入

filter

grok:数据结构化转换工具

match:匹配条件格式

geoip:该过滤器从geoip中匹配ip字段,显示该ip的地理位置

source:ip来源字段 

target:指定插入的logstash字段目标存储为geoip 

add_field: 增加的字段,坐标经度 

add_field: 增加的字段,坐标纬度

mutate:数据的修改、删除、类型转换 

convert:将坐标转为float类型 

replace:替换一个字段 

remove_field:移除message 的内容,因为数据已经过滤了一份,这里不必在用到该字段了,不然会相当于存两份 

date: 时间处理,该插件很实用,主要是用你日志文件中事件的事件来对timestamp进行转换 

match:匹配到timestamp字段后,修改格式为dd/MMM/yyyy:HH:mm:ss Z

mutate:数据修改 

remove_field:移除timestamp字段。

output

elasticsearch:输出到es中

host:es的主机ip+端口或者es 的FQDN+端口

index:为日志创建索引logstash-nginx-access-*,这里也就是kibana那里添加索引时的名称

Kibana 配置

注意:默认配置中Kibana的访问日志会记录在/var/log/message 中,使用logging.quiet参数关闭日志

[root@elk-node1 nginx]# egrep -v "*#|^$" /etc/kibana/kibana.yml

server.port: 5601

server.host: "192.168.99.185"

elasticsearch.hosts: ["http://192.168.99.185:9200"]

kibana.index: ".kibana"

logging.quiet: true

i18n.locale: "zh-CN"

tilemap.url: 'http://webrd02.is.autonavi.com/appmaptile?lang=zh_cn&size=1&scale=1&style=7&x={x}&y={y}&z={z}'

配置“tilemap.url:”参数使Kibana使用高德地图

基于ELK Nginx日志分析的更多相关文章

  1. ELK - nginx 日志分析及绘图

    1. 前言 先上一张整体的效果图: 上面这张图就是通过 ELK 分析 nginx 日志所得到的数据,通过 kibana 的功能展示出来的效果图.是不是这样对日志做了解析,想要知道的数据一目了然.接下来 ...

  2. 基于ELK的日志分析、存储、展示

    原文:https://blog.51cto.com/11134648/2163789 ELK简介 ELK是一套完整的日志解决方案,由ElasticSearch.Logstash. Kibana这三款开 ...

  3. ELK+redis搭建nginx日志分析平台

    ELK+redis搭建nginx日志分析平台发表于 2015-08-19   |   分类于 Linux/Unix   |  ELK简介ELKStack即Elasticsearch + Logstas ...

  4. 使用elk+redis搭建nginx日志分析平台

    elk+redis 搭建nginx日志分析平台 logstash,elasticsearch,kibana 怎么进行nginx的日志分析呢?首先,架构方面,nginx是有日志文件的,它的每个请求的状态 ...

  5. 使用elk+redis搭建nginx日志分析平台(引)

    http://www.cnblogs.com/yjf512/p/4199105.html elk+redis 搭建nginx日志分析平台 logstash,elasticsearch,kibana 怎 ...

  6. [原创]ubuntu14.04部署ELK+redis日志分析系统

    ubuntu14.04部署ELK+redis日志分析系统 [环境] host1:172.17.0.4 搭建ELK+redis服务 host2:172.17.0.3 搭建logstash+nginx服务 ...

  7. ELK + Filebeat 日志分析系统

    ELK + Filebeat 日志分析系统 架构图 环境 OS:CentOS 7.4 Filebeat: 6.3.2 Logstash: 6.3.2 Elasticsearch 6.3.2 Kiban ...

  8. 手把手教你搭建 ELK 实时日志分析平台

    本篇文章主要是手把手教你搭建 ELK 实时日志分析平台,那么,ELK 到底是什么呢? ELK 是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch.Logstash 和 Kiban ...

  9. nginx日志分析利器GoAccess

    面试的时候一定会被面到的问题是:给出web服务器的访问日志,请写一个脚本来统计访问前10的IP有哪些?访问前10的请求有哪些?当你领略过goaccess之后,你就明白,这些问题,除了考验你的脚本背诵记 ...

随机推荐

  1. 0016:单源最短路径(dijkstra算法)

    题目链接:https://www.luogu.com.cn/problem/P4779 题目描述:给定一个 n 个点,m 条有向边的带非负权图,计算从 s 出发,到每个点的距离. 这道题就是一个单源最 ...

  2. P1087 FBI树 [2004普及]

    这是个正常的.很简单的分治,然后我成功地将这个题搞成了一个贼难搞的东西 还是说一下我那个非常麻烦的思路: 1. 建树 2. 后序遍历 然后就在建树的过程中死循环了,然后还一堆毛病 看了一个AC代码,该 ...

  3. nginx编译安装支持lua脚本

    一.准备编译环境 1.操作系统:CentOS7.6 2.安装编译所需安装包 yum install gcc pcre pcre-devel zlib zlib-devel openssl openss ...

  4. vue 数据更新了但视图没改变?试试 $set

    场景 编辑表格中某行数据时,需要把它赋值给对话框表单 this.form,如果直接用 = 赋值,会导致:表单的输入框内容无法二次编辑. 使用 Vue-dev-tool 的 Components 功能测 ...

  5. 编译器工程师眼中的好代码:Loop Interchange

    摘要:本文将以Loop Interchange的场景为例,讲述在编写代码时可以拿到更优性能的书写方式. 本文分享自华为云社区<编译器工程师眼中的好代码(1):Loop Interchange&g ...

  6. 如何使用Solidity和Hardhat构建你自己的NFT以及NFT交易市场

    目录 目录 目录 1.ERC721的基础知识 1.1.什么是不可替代代币? 1.2.什么是 ERC-721? 1.3.什么是元数据 1.4.如何在链上保存NFT的图像 2.HardHat 3.创建项目 ...

  7. 什么是hive的静态分区和动态分区,它们又有什么区别呢?hive动态分区详解

    面试官问我,什么是hive的静态分区和动态分区,这题我会呀. 简述 分区是hive存放数据的一种方式,将列值作为目录来存放数据,就是一个分区,可以有多列. 这样查询时使用分区列进行过滤,只需根据列值直 ...

  8. iNeuOS工业互联网操作系统,在航天和军工测控领域的应用

    目       录 1.      行业概述... 2 2.      解决方案... 2 3.      解决的痛点... 6 1.   行业概述 现在国际形势异常严峻,加大了偶发武装斗争的可能性. ...

  9. Web 前端实战:JQ 实现树形控件

    前言 这是一篇个人练习 Web 前端各种常见的控件.组件的实战系列文章.本篇文章将介绍个人通过 JQuery + 无序列表 + CSS 动画完成一个简易的树形控件. 最终实现的效果是: 这样结构比较复 ...

  10. MapReduce核心原理(下)

    MapReduce 中的排序 MapTask 和 ReduceTask 都会对数据按key进行排序.该操作是 Hadoop 的默认行为,任何应用程序不管需不需要都会被排序.默认排序是字典顺序排序,排序 ...