ELK 日志分析实例
一、ELK-web日志分析
二、ELK-MySQL 慢查询日志分析
三、ELK-SSH登陆日志分析
四、ELK-vsftpd 日志分析

一、ELK-web日志分析

通过logstash grok正则将web日志过滤出来,输出到Elasticsearch 搜索引擎里,通过Kibana前端展示。

1.1、创建logstash grok 过滤规则

#cat ./logstahs/patterns/nginx

NGINXACCESS %{IPORHOST:remote_addr} – – \[%{HTTPDATE:time_local}\] "%{WORD:method} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}" %{INT:status} %{INT:body_bytes_sent} %{QS:http_referer} %{QS:http_user_agent}

1.2、创建logstash web日志配置文件

#cat ./logstash/conf/ngx_log.conf

input {

        file {

                type => "nginx_log"

                path => "/opt/nginx/logs/access.log"

        }

}  

filter {

  if [type] == "nginx_log" {

    grok {

      match => { "message" => "%{NGINXACCESS}" }

    }

    geoip {

      source => "remote_addr"

      target => "geoip"

      database => "/opt/logstash-2.0.0/conf/GeoLiteCity.dat"

      add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]

      add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}"  ]

    }

    mutate {

      convert => [ "[geoip][coordinates]","float", "body_bytes_sent","float", \

          "body_bytes_sent.raw","float"]

    }

  }

}

output {

    stdout { codec => rubydebug }

    elasticsearch {

        hosts => "elk.test.com:9200"

        index => "ngx_log-%{+YYYY.MM}"

    }

}

1.3、创建Kibana图形

统计httpcode状态码

选择【Visualize】菜单,选择 【Pie chart】选项。字段选择status.raw,如下图所示:

统计访问前50 IP

选择【Visualize】菜单,选择 【Vertical bar chart】选项。字段选择remote_addr.raw,如下图所示:

统计 403-405 状态码

选择【Visualize】菜单,选择 【Line chart】选项。字段选择status.raw,如下图所示:

其它图形统计,就不详细举例了。

详细图形展示如下:

二、ELK-MySQL 慢查询日志分析

2.1、创建logstash grok 过滤规则

#cat ./logstahs/patterns/mysql_slow

MYSQLSLOW "# User@Host: %{WORD:user}\[%{WORD}\] @ (%{HOST:client_hostname}|) \[(%{IP:client_ip}|)\]",

"# Thread_id: %{NUMBER:thread_id:int} \s*Schema: (%{WORD:schema}| ) \s*Last_errno: \

%{NUMBER:last_errno:int} \s*Killed: %{NUMBER:killed:int}",

"# Query_time: %{NUMBER:query_time:float} \s*Lock_time: %{NUMBER:lock_time:float} \

\s*Rows_sent: %{NUMBER:rows_sent:int} \s*Rows_examined: %{NUMBER:rows_examined:int}",

"# Bytes_sent: %{NUMBER:bytes_sent:int}",

"(?m)SET timestamp=%{NUMBER:timestamp};%{GREEDYDATA:mysql_query}"

2.2、创建logstash MySQL-Slow慢查询配置文件

#cat ./logstash/conf/MySQL-Slow.conf

input {

  file {

    type => "mysql-slow"

    path => "/var/log/mysql_slow_log.log"  

  }

}  

filter {

if [type] == "mysql-slow" {  

multiline {

    pattern => "^#|^SET"

    negate => true

    what => "previous"

}  

grok {

    match => { "message" => "%{MYSQLSLOW}"  }

}

mutate {

         gsub => [ "mysql_query", "\n", " " ]

         gsub => [ "mysql_query", "  ", " " ]

         add_tag => "mutated_mysql_query"

}

multiline {

    pattern => "(# User|# Thread|# Query|# Time|# Bytes)"

    negate => false

    what => "next"

}

date {

    match => [ "timestamp","UNIX" ]

}

mutate {

    remove_field => [ "timestamp" ]

}

}

}  

output {

    stdout { codec => rubydebug }

    elasticsearch {

        hosts => "elk.test.com:9200"

        index => "mysql_slow_log-%{+YYYY.MM}"

    }

}

2.3、详细图形展示如下:

三、ELK-SSH登陆日志分析

3.1、创建logstash grok 过滤规则

#cat ./logstahs/patterns/ssh

SECURELOG %{WORD:program}\[%{DATA:pid}\]: %{WORD:status} password for ?(invalid user)? %{WORD:USER} from %{DATA:IP} port

SYSLOGPAMSESSION %{SYSLOGBASE} (?=%{GREEDYDATA:message})%{WORD:pam_module}\(%{DATA:pam_caller}\): session %{WORD:pam_session_state} for user %{USERNAME:username}(?: by %{GREEDYDATA:pam_by})?

SYSLOGBASE2 (?:%{SYSLOGTIMESTAMP:timestamp}|%{TIMESTAMP_ISO8601:timestamp8601}) (?:%{SYSLOGFACILITY} )?%{SYSLOGHOST:logsource} %{SYSLOGPROG}:

 

3.2、创建logstash ssh配置文件

#cat ./logstash/conf/ssh.conf

input {

    file {

        type => "seclog"

        path => "/var/log/secure"

   }

}

filter {

if [type] == "seclog" {

    grok {

        match => { "message" => "%{SYSLOGPAMSESSION}" }

        match => { "message" => "%{SECURELOG}" }

        match => { "message" => "%{SYSLOGBASE2}" }

    }

    geoip {

        source => "IP"

        fields => ["city_name"]

        database => "/opt/logstash-2.0.0/conf/GeoLiteCity.dat"

    }

    if ([status] == "Accepted") {

        mutate {

        add_tag => ["Success"]

        }

    }

    else if ([status] == "Failed") {

        mutate {

        add_tag => ["Failed"]

        }

    }

}

output {

    stdout { codec => rubydebug }

    elasticsearch {

        hosts => "elk.test.com:9200"

        index => "sshd_log-%{+YYYY.MM}"

    }

}

PS:添加状态标签,便于Kibana 统计

if ([status] == "Accepted") {              #判断字段[status]值,匹配[Accepted]

        mutate {

        add_tag => ["Success"]      #添加标签[Success]

        }

}

else if ([status] == "Failed") {           #判断字段[status]值,匹配[Failed]

        mutate {

        add_tag => ["Failed"]       #添加标签[Failed]

        }

}

 

3.3、详细图形展示如下:

四、ELK-vsftpd 日志分析

4.1、创建logstash grok 过滤规则

#cat ./logstahs/patterns/vsftpd

VSFTPDCONNECT \[pid %{WORD:pid}\] %{WORD:action}: Client \"%{DATA:IP}\"
VSFTPDLOGIN \[pid %{WORD:pid}\] \[%{WORD:user}\] %{WORD:status} %{WORD:action}: Client \"%{DATA:IP}\"VSFTPDACTION \[pid %{DATA:pid}\] \[%{DATA:user}\] %{WORD:status} %{WORD:action}: Client \"%{DATA:IP}\", \"%{DATA:file}\", %{DATA:bytes} bytes, %{DATA:Kbyte_sec}Kbyte/sec

4.2、创建logstash vsftpd配置文件

#cat ./logstash/conf/vsftpd.conf

input {

    file {

        type => "vsftpd_log"

        path => "/var/log/vsftpd.log"

    }

}

filter {

    if [type] == "vsftpd_log" {

        grok {

            match => { "message" => "%{VSFTPDACTION}" }

            match => { "message" => "%{VSFTPDLOGIN}" }

            match => { "message" => "%{VSFTPDCONNECT}" }

        }

    }

}

output {

    stdout { codec => rubydebug }

    elasticsearch {

        hosts => "elk.test.com:9200"

        index => "vsftpd_log-%{+YYYY.MM}"

    }

}

4.3、详细图形展示如下:

原创文章,作者:wubin,如若转载,请注明出处:http://www.178linux.com/17395

ELK 日志分析实例的更多相关文章

  1. ELK日志分析系统-Logstack

    ELK日志分析系统 作者:Danbo 2016-*-* 本文是学习笔记,参考ELK Stack中文指南,链接:https://www.gitbook.com/book/chenryn/kibana-g ...

  2. ELK日志分析 学习笔记

    (贴一篇之前工作期间整理的elk学习笔记) ELK官网 https://www.elastic.co   ELK日志分析系统 学习笔记 概念:ELK = elasticsearch + logstas ...

  3. ELK 日志分析体系

    ELK   日志分析体系 ELK 是指 Elasticsearch.Logstash.Kibana三个开源软件的组合. logstash                       负责日志的收集,处 ...

  4. 浅谈ELK日志分析平台

    作者:珂珂链接:https://zhuanlan.zhihu.com/p/22104361来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 小编的话 “技术干货”系列文章 ...

  5. ELK日志分析系统简单部署

    1.传统日志分析系统: 日志主要包括系统日志.应用程序日志和安全日志.系统运维和开发人员可以通过日志了解服务器软硬件信息.检查配置过程中的错误及错误发生的原因.经常分析日志可以了解服务器的负荷,性能安 ...

  6. elk日志分析与发掘深入分析

    elk日志分析与挖掘深入分析 1 为什么要做日志采集? 2 挖财自己的日志采集和分析体系应该怎么建? 2.1 日志的采集 2.2 日志的汇总与过滤 2.3 日志的存储 2.4 日志的分析与查询 3 需 ...

  7. Rsyslog+ELK日志分析系统

    转自:https://www.cnblogs.com/itworks/p/7272740.html Rsyslog+ELK日志分析系统搭建总结1.0(测试环境) 因为工作需求,最近在搭建日志分析系统, ...

  8. 十分钟搭建和使用ELK日志分析系统

    前言 为满足研发可视化查看测试环境日志的目的,准备采用EK+filebeat实现日志可视化(ElasticSearch+Kibana+Filebeat).题目为“十分钟搭建和使用ELK日志分析系统”听 ...

  9. elk 日志分析系统Logstash+ElasticSearch+Kibana4

    elk 日志分析系统 Logstash+ElasticSearch+Kibana4 logstash 管理日志和事件的工具 ElasticSearch 搜索 Kibana4 功能强大的数据显示clie ...

随机推荐

  1. 汇编 inc 和 dec 指令

    知识点: inc 加1指令 dec 减1指令 一.加一指令inc inc a 相当于 add a, //i++ 优点 速度比sub指令快,占用空间小 这条指令执行结果影响AF.OF.PF.SF.Z ...

  2. 【第十课】Tomcat入门

    目录 1.Tomcat介绍 2.Tomcat安装部署和配置 (1)tomcat下载和解压 (2)jdk环境变量配置 (3)设置tomcat以普通用户启动 (4)查看tomcat的配置 (5)tomca ...

  3. 前端页面loading效果(CSS实现)

    当首页内容或图片比较多时,加载时间会比较长,此时可能出现页面白屏的情况,用户体验较差.所以,在页面完全加载出来之前,可以考虑加入loading效果,当页面完全加载完后,是loading消失即可. 1. ...

  4. 01.如何把.py文件打包成为exe,重点讲解pyinstaller的用法

    1.应用场景 1.1 故事背景 我自己用python写了一个小程序发给其他同事用,给他的就是一个.py文件,不过他觉得比较麻烦,还要安装环境,他问我有没有简单一点的方式,我给一个exe文件,他就不用安 ...

  5. Error when Building GPU docker image for caffe: Unsupported gpu architecture 'compute_60'

    issue: Error when Building GPU docker image for caffe: Unsupported gpu architecture 'compute_60' rea ...

  6. JQ_返回顶部

    $(function(){ $('#goto_top_btn').click(function() {var s = $(window).scrollTop(),h = $(window).heigh ...

  7. Vxlan抓包

    实验目的:验证Openstack  vxlan组网模式验证虚拟机数据是否通过物理网卡流出 一. 同网段不同主机间虚拟机通讯 (同网段通讯直接通过物理机隧道口链接对端物理机隧道口,不需要通过网络节点): ...

  8. Hyperledger Fabric v1.1.0安装记录(国内源版)

    1. 安装虚拟机     虚拟机软件采用:VirtualBox     操作系统选择:Ubuntu 14.04     内存:4G     CPU:2核     硬盘:20G     2.(可选)更改 ...

  9. sass和less的几点不同

    1.申明和使用变量 sass使用$符号来标识变量(老版本的sass使用!来标识变量),比如$highlight-color和$sidebar-width. 与CSS属性不同,变量可以在css规则块定义 ...

  10. PAT甲题题解-1056. Mice and Rice (25)-模拟题

    有n个老鼠,第一行给出n个老鼠的重量,第二行给出他们的顺序.1.每一轮分成若干组,每组m个老鼠,不能整除的多余的作为最后一组.2.每组重量最大的进入下一轮.让你给出每只老鼠最后的排名.很简单,用两个数 ...