配置Nginx 日志

Nginx 默认的access 日志为log格式,需要logstash 进行正则匹配和清洗处理,从而极大的增加了logstash的压力 所以我们Nginx 的日志修改为json 格式 。

Nginx access 日志和 Nginx error 日志

http {

    include       /etc/nginx/mime.types;

    default_type  application/octet-stream;

    log_format  json  '{"@timestamp":"$time_iso8601",'

                      '"server_addr":"$server_addr",'

                      '"hostname":"$hostname",'

                      '"remote_add":"$remote_addr",'

                      '"request_method":"$request_method",'

                      '"scheme":"$scheme",'

                      '"server_name":"$server_name",'

                      '"http_referer":"$http_referer",'

                      '"request_uri":"$request_uri",'

                      '"args":"$args",'

                      '"body_bytes_sent":$body_bytes_sent,'

                      '"status": $status,'

                      '"request_time":$request_time,'

                      '"upstream_response_time":"$upstream_response_time",'

                      '"upstream_addr":"$upstream_addr",'

                      '"http_user_agent":"$http_user_agent",'

                      '"https":"$https"'

                      '}';

    access_log  /var/log/nginx/access.log json;

针对不同的虚拟主机配置Nginx日志

access_log  /var/log/nginx/80.access.log json;

error_log  /var/log/nginx/80.error.log error;

access_log  /var/log/nginx/8001.access.log json;

error_log  /var/log/nginx/8001.error.log error;

Nginx error_log 类型

[ debug | info | notice | warn | error | crit ]

例如:error_log /var/log/nginx/8001.error.log crit;

解释:日志文件存储在/var/log/nginx/8001.error.log 文件中,错误类型为 crit ,也就是记录最少错误信息(debug最详细 crit最少);

filebeat 配置

针对*.access.log 和 *.error.log 的日志进行不同的标签封装

[root@elk-node1 nginx]# egrep -v "*#|^$" /etc/filebeat/filebeat.yml

filebeat.inputs:

- type: log

  enabled: true

  paths:

    - /var/log/nginx/*.access.log

  tags: ["nginx.access"]

- type: log

  paths:

    - /var/log/nginx/*.error.log

  tags: ["nginx.error"]

filebeat.config.modules:

  path: ${path.config}/modules.d/*.yml

  reload.enabled: false

setup.template.settings:

  index.number_of_shards: 3

setup.kibana:

output.logstash:

  hosts: ["192.168.99.186:6044"]

processors:

  - add_host_metadata: ~

  - add_cloud_metadata: ~

logstash 配置

查看logstash 安装已经安装插件

/usr/share/logstash/bin/logstash-plugin list

[root@elk-node2 ~]#/usr/share/logstash/bin/logstash-plugin list |grep geoip

logstash-filter-geoip

/usr/share/logstash/bin/logstash-plugin    install logstash-filter-geoip

Nginx 日志清洗规则

[root@elk-node2 ~]# cat /etc/logstash/conf.d/nginx.conf

input {

  beats {

    port => 6044

  }

}

filter {

    if "nginx.access" in [tags] {

        json {

            source => "message"

            remove_field => "message"

        }

        date {

            match => ["timestamp" , "dd/MMM/YYYY:HH:mm:ss Z" ]

        }

        useragent {

            target => "agent"

            source => "http_user_agent"

        }

        geoip {

             #target => "geoip"

             source => "remote_add"

             fields => ["city_name", "country_code2", "country_name", "region_name","longitude","latitude","ip"]

             add_field => ["[geoip][coordinates]","%{[geoip][longitude]}"]

             add_field => ["[geoip][coordinates]","%{[geoip][latitude]}"]

        }

        mutate {

            convert => ["[geoip][coordinates]","float"]

        }

    }

   else if "nginx.error" in [tags] {

        mutate {

            remove_field => ["@timestamp"]

        }

        grok {

            match => {"message" => "(?<datetime>%{YEAR}[./-]%{MONTHNUM}[./-]%{MONTHDAY}[- ]%{TIME}) \[%{LOGLEVEL:severity}\] %{POSINT:pid}#%{NUMBER}: %{GREEDYDATA:errormessage}(?:, client: (?<real_ip>%{IP}|%{HOSTNAME}))(?:, server: %{IPORHOST:domain}?)(?:, request: %{QS:request})?(?:, upstream: (?<upstream>\"%{URI}\"|%{QS}))?(?:, host: %{QS:request_host})?(?:, referrer: \"%{URI:referrer}\")?"}

        }

        date {

            match => ["datetime", "yyyy/MM/dd HH:mm:ss"]

            target => "@timestamp"

        }

        mutate {

            remove_field => ["message"]

        }

   }

}

output{

    stdout{codec => rubydebug}

    if "nginx.access" in [tags]{

        elasticsearch{

            index => "logstash-nginx.access-%{+YYYY.MM.dd}"

            hosts => ["192.168.99.186:9200"]

        }

    }

    else if "nginx.error" in [tags]{

        elasticsearch {

            index => "nginx.error-%{+YYYY.MM.dd}"

            hosts => ["192.168.99.186:9200"]

        }

    }

}

注意:source 可以是任意处理后的字段,需要注意的是 IP 必须是公网 IP,否则logstash 的返回的geoip字段为空

Logstash解析

Logstash 分为 Input、Output、Filter、Codec 等多种plugins。

  • Input:数据的输入源也支持多种插件,如elk官网的beats、file、graphite、http、kafka、redis、exec等等。
  • Output:数据的输出目的也支持多种插件,如本文的elasticsearch,当然这可能也是最常用的一种输出。以及exec、stdout终端、graphite、http、zabbix、nagios、redmine等等。
  • Filter:使用过滤器根据日志事件的特征,对数据事件进行处理过滤后,在输出。支持grok、date、geoip、mutate、ruby、json、kv、csv、checksum、dns、drop、xml等等。
  • Codec:编码插件,改变事件数据的表示方式,它可以作为对输入或输出运行该过滤。和其它产品结合,如rubydebug、graphite、fluent、nmap等等。

配置文件的含义

input

filebeat 传入

filter

grok:数据结构化转换工具

match:匹配条件格式

geoip:该过滤器从geoip中匹配ip字段,显示该ip的地理位置

source:ip来源字段 

target:指定插入的logstash字段目标存储为geoip 

add_field: 增加的字段,坐标经度 

add_field: 增加的字段,坐标纬度

mutate:数据的修改、删除、类型转换 

convert:将坐标转为float类型 

replace:替换一个字段 

remove_field:移除message 的内容,因为数据已经过滤了一份,这里不必在用到该字段了,不然会相当于存两份 

date: 时间处理,该插件很实用,主要是用你日志文件中事件的事件来对timestamp进行转换 

match:匹配到timestamp字段后,修改格式为dd/MMM/yyyy:HH:mm:ss Z

mutate:数据修改 

remove_field:移除timestamp字段。

output

elasticsearch:输出到es中

host:es的主机ip+端口或者es 的FQDN+端口

index:为日志创建索引logstash-nginx-access-*,这里也就是kibana那里添加索引时的名称

Kibana 配置

注意:默认配置中Kibana的访问日志会记录在/var/log/message 中,使用logging.quiet参数关闭日志

[root@elk-node1 nginx]# egrep -v "*#|^$" /etc/kibana/kibana.yml

server.port: 5601

server.host: "192.168.99.185"

elasticsearch.hosts: ["http://192.168.99.185:9200"]

kibana.index: ".kibana"

logging.quiet: true

i18n.locale: "zh-CN"

tilemap.url: 'http://webrd02.is.autonavi.com/appmaptile?lang=zh_cn&size=1&scale=1&style=7&x={x}&y={y}&z={z}'

配置“tilemap.url:”参数使Kibana使用高德地图

基于ELK Nginx日志分析的更多相关文章

  1. ELK - nginx 日志分析及绘图

    1. 前言 先上一张整体的效果图: 上面这张图就是通过 ELK 分析 nginx 日志所得到的数据,通过 kibana 的功能展示出来的效果图.是不是这样对日志做了解析,想要知道的数据一目了然.接下来 ...

  2. 基于ELK的日志分析、存储、展示

    原文:https://blog.51cto.com/11134648/2163789 ELK简介 ELK是一套完整的日志解决方案,由ElasticSearch.Logstash. Kibana这三款开 ...

  3. ELK+redis搭建nginx日志分析平台

    ELK+redis搭建nginx日志分析平台发表于 2015-08-19   |   分类于 Linux/Unix   |  ELK简介ELKStack即Elasticsearch + Logstas ...

  4. 使用elk+redis搭建nginx日志分析平台

    elk+redis 搭建nginx日志分析平台 logstash,elasticsearch,kibana 怎么进行nginx的日志分析呢?首先,架构方面,nginx是有日志文件的,它的每个请求的状态 ...

  5. 使用elk+redis搭建nginx日志分析平台(引)

    http://www.cnblogs.com/yjf512/p/4199105.html elk+redis 搭建nginx日志分析平台 logstash,elasticsearch,kibana 怎 ...

  6. [原创]ubuntu14.04部署ELK+redis日志分析系统

    ubuntu14.04部署ELK+redis日志分析系统 [环境] host1:172.17.0.4 搭建ELK+redis服务 host2:172.17.0.3 搭建logstash+nginx服务 ...

  7. ELK + Filebeat 日志分析系统

    ELK + Filebeat 日志分析系统 架构图 环境 OS:CentOS 7.4 Filebeat: 6.3.2 Logstash: 6.3.2 Elasticsearch 6.3.2 Kiban ...

  8. 手把手教你搭建 ELK 实时日志分析平台

    本篇文章主要是手把手教你搭建 ELK 实时日志分析平台,那么,ELK 到底是什么呢? ELK 是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch.Logstash 和 Kiban ...

  9. nginx日志分析利器GoAccess

    面试的时候一定会被面到的问题是:给出web服务器的访问日志,请写一个脚本来统计访问前10的IP有哪些?访问前10的请求有哪些?当你领略过goaccess之后,你就明白,这些问题,除了考验你的脚本背诵记 ...

随机推荐

  1. 【RocketMQ】消息的拉取

    RocketMQ消息的消费以组为单位,有两种消费模式: 广播模式:同一个消息队列可以分配给组内的每个消费者,每条消息可以被组内的消费者进行消费. 集群模式:同一个消费组下,一个消息队列同一时间只能分配 ...

  2. 2 Zookeeper 单击安装

    (二)Zookeeper 本地模式安装 下载地址 镜像库地址:http://archive.apache.org/dist/zookeeper/ apache-zookeeper-3.6.0.tar. ...

  3. Thingsboard硬网关金鸽BL102采集三菱PLC步骤

    PLC网关金鸽BL102:采集三菱FX-5U数据如何转成MQTT上报?金鸽BL102PLC网关时一款功能强大的PLC数据采集网关,南向可以采集主流的PLC,如三菱.西门子.台达.欧姆龙.施耐德等等PL ...

  4. CSS样式快速入门

    CSS样式快速入门 前言 前端基础的博客主要分为HTML.CSS和JavaScript,本类博客主要用于记录博主的学习过程和分享学习经验,由于博主学识浅薄,经验不足,难免会出现错误,欢迎大家提出问题. ...

  5. Odoo 14 升级模块后为什么template不生效?

    # 升级模块后为什么template不生效? # 直接原因是因为你在record标签的父级data标签标签中设置了noupdate为true.这就导致你后面无论你怎么修改data下面的子标签内容,都不 ...

  6. Spring源码 18 IOC refresh方法13

    参考源 https://www.bilibili.com/video/BV1tR4y1F75R?spm_id_from=333.337.search-card.all.click https://ww ...

  7. 【RocketMQ】事务的实现原理

    事务的使用 RocketMQ事务的使用场景 单体架构下的事务 在单体系统的开发过程中,假如某个场景下需要对数据库的多张表进行操作,为了保证数据的一致性,一般会使用事务,将所有的操作全部提交或者在出错的 ...

  8. java学习第一天.day06

    方法 方法的优点 1. 使程序变得更简短而清晰. 2. 有利于程序维护. 3. 可以提高程序开发的效率. 4. 提高了代码的重用性. static的作用 static在方法中如果没有添加就只能用对象调 ...

  9. 基础2:js创建对象的多种方式

    js创建对象的多种方式 1. 工厂模式 function createPerson(name) { var o = new Object() 0.name = name return o } var ...

  10. WebMvcConfigurerAdapter过时替换接口或类

    (注意!)WebMvcConfigurerAdapter 在spring 5.0中已经弃用了. 原来的使用方式 @Deprecated public abstract class WebMvcConf ...