1.收集nginx日志

学习背景:access.log,error.log目前日志混杂在一个es索引下。

改进filebeat配置

https://www.elastic.co/guide/en/beats/filebeat/current/elasticsearch-output.html

加上日志输入文件的判断,采用不同的索引

  1 filebeat.inputs:

  2 - type: log

  3   enabled: true

  4   paths:

  5     - /var/log/nginx/access.log

  6   json.keys_uner_root: true

  7   json.overwrite_keys: true

  8

  9

 10 - type: log

 11   enabled: true

 12   paths:

 13     - /var/log/nginx/error.log

 14

 15

 16 output.elasticsearch:

 17   hosts: ["http://localhost:9200"]

 18   indices:

 19     - index: "nginx-access-%{[agent.version]}-%{+yyyy.MM.dd}"

 20       when.contains:

 21         log.file.path: "/var/log/nginx/access.log"

 22     - index: "nginx-error-%{[agent.version]}-%{+yyyy.MM.dd}"

 23       when.contains:

 24         log.file.path: "/var/log/nginx/error.log"

 25

 26

 27 setup.ilm.enabled: false

 28 setup.template.enabled: false

 29

 30 logging.level: info

 31 logging.to_files: true

 32 logging.files:

 33   path: /var/log/filebeat

 34   name: filebeat

 35   keepfiles: 7

 36   permissions: 0644

查看es数据

access.log

error.log

完成nginx日志拆分index

curl 127.0.0.1/laoliu

curl 127.0.0.1/laoliu

2.Kibana图形化定制

柱状图

选择可视化

选择图形模式

柱状图、x、y轴图形数据

多个客户端,记得点击save,保存图形

data table

可视化存档

饼图

  • 客户端类型
  • 操作系统类型
  • http状态码

编辑dashboard

3.使用ES预处理节点转换Nginx日志

背景

1.我们可以提提前修改nginx日志为json格式(常见做法,省事)

2.不修改源数据,使用es提供的grok转换器(太麻烦)

3.更高级用法是用filebeat模块

https://www.elastic.co/guide/en/elasticsearch/reference/master/ingest.html

先恢复你nginx日志为基础格式

systemctl stop filebeat

> /var/log/nginx/access.log

vim /etc/nginx/nginx.conf

systemctl restart nginx

curl 127.0.0.1

cat /var/log/nginx/access.log

nginx基础日志

127.0.0.1 - - [19/Feb/2023:11:53:59 +0800] "GET / HTTP/1.1" 200 9205 "-" "curl/7.29.0" "-"

127.0.0.1 - - [19/Feb/2023:11:53:59 +0800] "GET / HTTP/1.1" 200 9205 "-" "curl/7.29.0" "-"

Grok

https://www.elastic.co/guide/en/elasticsearch/reference/master/grok-processor.html

GROK是一种采用组合多个预定义的正则表达式,用来匹配分割文本并映射到关键字的工具。通常用来对日志数据进行处理。本文档主要介绍GROK的模式说明以及常用语法。

GROK模式及说明如下表所示。

https://help.aliyun.com/document_detail/129387.html

https://developer.qiniu.com/insight/4759/grok-parser

测试

grok转换语法

127.0.0.1                             ==> %{IP:clientip}

-                                     ==> -

-                                     ==> -

[08/Oct/2020:16:34:40 +0800]         ==> \\[%{HTTPDATE:nginx.access.time}\\]

"GET / HTTP/1.1"                     ==> "%{DATA:nginx.access.info}"

200                                 ==> %{NUMBER:http.response.status_code:long}

5                                     ==> %{NUMBER:http.response.body.bytes:long}

"-"                                 ==> "(-|%{DATA:http.request.referrer})"

"curl/7.29.0"                         ==> "(-|%{DATA:user_agent.original})"

"-"                                    ==> "(-|%{IP:clientip})"

字符对应grok模式

%{IP:clientip} - - \[%{HTTPDATE:nginx.access.time}\] \"%{DATA:nginx.access.info}\" %{NUMBER:http.response.status_code:long} %{NUMBER:http.response.body.bytes:long} \"(-|%{DATA:http.request.referrer})\" \"(-|%{DATA:user_agent.original})\"

转换结果

1.创建pipeline

GET _ingest/pipeline

PUT  _ingest/pipeline/pipeline-nginx-access

{

  "description" : "nginx access log",

  "processors": [

    {

      "grok": {

        "field": "message",

        "patterns": ["%{IP:clientip} - - \\[%{HTTPDATE:nginx.access.time}\\] \"%{DATA:nginx.access.info}\" %{NUMBER:http.response.status_code:long} %{NUMBER:http.response.body.bytes:long} \"(-|%{DATA:http.request.referrer})\" \"(-|%{DATA:user_agent.original})\""]

      }

    },{

      "remove": {

        "field": "message"

      }

    }

  ]

}

2.修改filebeat

filebeat.inputs:

- type: log

  enabled: true

  paths:

    - /var/log/nginx/access.log

  tags: ["access"]

- type: log

  enabled: true

  paths:

    - /var/log/nginx/error.log

  tags: ["error"]

processors:

  - drop_fields:

      fields: ["ecs","log"]  //删除不需要的字段

output.elasticsearch:

  hosts: ["10.0.0.18:9200"]

  pipelines:

    - pipeline: "pipeline-nginx-access"

      when.contains:

        tags: "access"

  indices:

    - index: "nginx-access-%{[agent.version]}-%{+yyyy.MM}"

      when.contains:

        tags: "access"

    - index: "nginx-error-%{[agent.version]}-%{+yyyy.MM}"

      when.contains:

        tags: "error"

setup.ilm.enabled: false

setup.template.enabled: false

logging.level: info

logging.to_files: true

例如删除如下字段

3.测试pipeline转换的nginx日志

清空,删除所有es 索引,注意测试用法,生产别执行。

[root@es-node1 ~]#curl -X DELETE 'http://localhost:9200/_all'

{"acknowledged":true}

[root@es-node1 ~]#systemctl restart filebeat.service

[root@es-node1 ~]#

[root@es-node1 ~]#systemctl restart filebeat.service

[root@es-node1 ~]#

注意再去访问nginx,产生日志,此时filebeat会抓取新日志数据,写入es,生成索引

[root@es-node1 ~]#curl 127.0.0.1

[root@es-node1 ~]#curl 127.0.0.1

[root@es-node1 ~]#curl 127.0.0.1

4.kibana可视化新格式es数据

5.小结

只有专门维护ELK的高级工程师,只维护ELK,需要大量且复杂的维护日志系统,需要手工写grok转换规则。

ELK收集主流应用日志的更多相关文章

  1. 带你了解zabbix整合ELK收集系统异常日志触发告警~

    今天来了解一下关于ELK的“L”-Logstash,没错,就是这个神奇小组件,我们都知道,它是ELK不可缺少的组件,完成了输入(input),过滤(fileter),output(输出)工作量,也是我 ...

  2. ELK收集Nginx自定义日志格式输出

    1.ELK收集日志的有两种常用的方式: 1.1:不修改源日志格式,简单的说就是在logstash中转通过 grok方式进行过滤处理,将原始无规则的日志转换为规则日志(Logstash自定义日志格式) ...

  3. ELK收集Nginx|Tomcat日志

    1.Nginx 日志收集,先安装Nginx cd /usr/local/logstash/config/etc/,创建如下配置文件,代码如下 Nginx.conf input { file { typ ...

  4. 搭建ELK收集PHP的日志

    架构: filebeat --> redis -->logstash --> es --> kibana 每个客户端需要安装filebeat收集PHP日志 filebeat把收 ...

  5. elk收集tomcat的日志

    logstash收集tomcat的日志 不要修改下tomcat中server.xml的日志格式,否则tomcat无法启动,试过多次,不行,就用自带的日志让logstash去收集 首先给tomcat日志 ...

  6. ELK收集tomcat访问日志并存取mysql数据库案例

    这个案例中,tomcat产生的日志由filebeat收集,然后存取到redis中,再由logstash进行过滤清洗等操作,最后由elasticsearch存储索引并由kibana进行展示. 1.配置t ...

  7. ELK收集windows服务器日志笔记

    一.软件版本 1.jdk-8u211-linux-x64.rpm 2.elasticsearch-6.8.1.rpm 3.logstash-6.8.1.rpm 4.kibana-6.8.1-x86_6 ...

  8. ELK收集tomcat状态日志

    1.先查看之前的状态日志输出格式:在logs/catalina.out这个文件中 最上面的日志格式我们可能不太习惯使用,所以能输出下面的格式是最好的,当然需要我们自定义日志格式,接下来看看如何修改 2 ...

  9. elk收集tomcat日志

    1.elk收集tomcat普通日志: 只在logstash节点增加如下文件,重启logstash即可: cat >>/home/logstash-6.3.0/config/tomcat_t ...

  10. elk收集分析nginx access日志

    elk收集分析nginx access日志 首先elk的搭建按照这篇文章使用elk+redis搭建nginx日志分析平台说的,使用redis的push和pop做队列,然后有个logstash_inde ...

随机推荐

  1. 力扣405(java)-数字转换为十六进制(简单)

    题目: 给定一个整数,编写一个算法将这个数转换为十六进制数.对于负整数,我们通常使用 补码运算 方法. 注意: 十六进制中所有字母(a-f)都必须是小写.十六进制字符串中不能包含多余的前导零.如果要转 ...

  2. 拒绝双写:巧用Lindorm数据订阅

    ​简介: 本文介绍了双写场景的一致性问题,详细介绍了三种解决方案,并针对DB->Binlog->Kafka方案给出了Lindorm数据订阅的最佳实践 双写问题介绍 双写问题(Dual Wr ...

  3. [ML] 科学编程语言 Octave 简单操作

    octave 是和 matlab 类似的软件,可以方便的进行矩阵计算.图形绘图. matlab 收费,octave 是 gnu 开源软件. Mac 安装: $ brew install octave ...

  4. 【学习笔记】Python 使用 matplotlib 画图

    目录 安装 中文显示 折线图.点线图 柱状图.堆积柱状图 坐标轴断点 参考资料 本文将介绍如何使用 Python 的 matplotlib 库画图,记录一些常用的画图 demo 代码 安装 # 建议先 ...

  5. 超好用的 Redis GUI 工具,你值得拥有

    超好用的 Redis GUI 工具,你值得拥有 提供原生的性能,并且比使用 Electron 等 Web 技术开发的同等应用程序消耗的资源少得多. 下载地址:http://www.redisant.c ...

  6. Java面试题:SimpleDateFormat是线程安全的吗?使用时应该注意什么?

    在日常开发中,我们经常会用到时间,我们有很多办法在Java代码中获取时间.但是不同的方法获取到的时间的格式都不尽相同,这时候就需要一种格式化工具,把时间显示成我们需要的格式. 最常用的方法就是使用Si ...

  7. The instance of entity type 'Model' cannot be tracked because another instance with the same key value for {'Id'} is already being tracked.

    The instance of entity type 'Model' cannot be tracked because another instance with the same key val ...

  8. vue点击旋转,再点击复原

    效果: 1.html.通过绑定t值控制不同的class名, 原图是右边方向的箭头 <img class="right" v-if="item.t" src ...

  9. 通过虚拟机镜像部署zabbix

    前言 由于基础镜像的缘故,zabbix部署过程中很可能出现各种缺少依赖包的情况,如果环境中又无法连接互联网,系统部署会非常麻烦.为此zabbix官方提供了虚拟机镜像,导入后可以直接在平台上拉起虚拟机, ...

  10. S/4 HANA 中的 Email Template

    电子邮件是非常常见的业务需求. SAP 了解这一点,并在 S/4 HANA(cloud和on premise)中引入了非常有趣的功能--Email Template.它将CDS视图和HTML模板结合了 ...