ELK简单实战---分析httpd的日志

最新推荐文章于 2021-12-15 19:35:05 发布
最新推荐文章于 2021-12-15 19:35:05 发布
阅读量333 收藏
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kammingo/article/details/105795753
版权

本章介绍filter grok插件,分析httpd的日志

grok插件:
解析各种非结构化的日志数据插件
grok使用正则表达式把飞结构化的数据结构化
在分组匹配,正则表达式需要根据具体数据结构编写
虽然编写困难,但适用性极广,几乎可以应用于各类数据

分析httpd的日志

# vim /etc/httpd/conf/httpd.conf         //查看access_log的日志格式
196 LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
217 CustomLog "logs/access_log" combined
# /var/log/httpd/access_log               //随便选一段对应查看
192.168.1.254 - - [27/Dec/2018:09:15:35 +0800] "GET /favicon.ico HTTP/1.1" 404 209 "http://192.168.1.100/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"

参考网站:http://httpd.apache.org、金步国

步骤一、

# vim /etc/logstash/logstash.conf
input{
    stdin{ codec => "json" }
    file{
      path => ["/tmp/a.log","/var/tmp/b.log"]
     #sincedb_path => "/var/lib/logstash/since.db"    
      sincedb_path => "/dev/null"          //仅实验环境可用,不用读之前就删除
      start_position => "beginning"
      type => "testlog"
    }
    tcp{
     host => "0.0.0.0"
     mode => "server"
     port => 8888
     type => "tcplog"
}
    udp{
     host => "0.0.0.0"
     port => 8888
     type => "udplog"
}
     syslog {
     port => "514"
     type => "syslog"
}
}
filter{
     grok{
       match => { "message" => "(?<ip>[0-9.]+) (?<ident>\S+) (?<user>\S+) \[(?<time>.+)\] \"(?<method>[A-Z]+) (?<url>\S+) (?<ver>\S+)\" (?<rc>\d+) (?<size>\d+) \"(?<ref>\S+)\" \"(?<agent>[^\"]+).*" }
}
}
output{
    stdout{ codec => rubydebug }
}
复制/var/log/httpd/access_log的日志到logstash下的/tmp/a.log
# vim /tmp/a.log 
192.168.1.254 - - [27/Dec/2018:09:15:35 +0800] "GET /favicon.ico HTTP/1.1" 404 209 "http://192.168.1.100/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"
# logstash -f /etc/logstash/logstash.conf
# cd \
/opt/logstash/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-2.0.5/patterns/
# vim grok-patterns            //查找正则宏路径
COMBINEDAPACHELOG %{COMMONAPACHELOG} %{QS:referrer} %{QS:agent}                              //查找COMBINEDAPACHELOG
#  vim /etc/logstash/logstash.conf
...
filter{
   grok{
        match => {"message", "%{COMBINEDAPACHELOG}"}
  }
}
...
# logstash -f  /etc/logstash/logstash.conf

步骤二、安装Apache服务,用filebeat收集Apache服务器的日志,存入elasticsearch
web、logstash:10.211.55.10
在安装了Apache的主机上面安装filebeat

# yum -y install filebeat
# vim /etc/filebeat/filebeat.yml  
paths:
    - /var/log/httpd/access_log     //日志的路径,短横线加空格代表yml格式
document_type: apachelog        //文档类型
#elasticsearch:                    //加上注释
hosts: ["localhost:9200"]          //加上注释
logstash:                          //去掉注释
hosts: ["192.168.1.20:5044"]     //去掉注释,logstash那台主机的ip
# grep -Pv "^\s*(#|$)" /etc/filebeat/filebeat.yml 
# systemctl restart filebeat
# vim /etc/logstash/logstash.conf
input{
    stdin{ codec => "json" }
    beats{
      port => 5044
    }
    file{
      path => ["/tmp/a.log","/var/tmp/b.log"]
      sincedb_path => "/var/lib/logstash/since.db"    
      #sincedb_path => "/dev/null"
      start_position => "beginning"
      type => "testlog"
    }
    tcp{
     host => "0.0.0.0"
     mode => "server"
     port => 8888
     type => "tcplog"
}
    udp{
     host => "0.0.0.0"
     port => 8888
     type => "udplog"
}
     syslog {
     port => "514"
     type => "syslog"
}
}
filter{
     grok{
       match => { "message" => "{%COMBINEDAPACHELOG}"}
}
}
output{
    stdout{ codec => rubydebug }
      if [type] == "apachelog"{
      elasticsearch{
        hosts => ["10.211.55.9:9200"]
        index => "weblog-%{+YYYY.MM.dd}"
    }}
}

打开另一logstash终端查看5044是否成功启动
# netstat -antup | grep 5044
访问web主机:
# firefox http://10.211.55.10/
# for i in {1..30}
> do
> curl http://10.211.55.10/ -so /dev/null
> done

步骤三、
访问http://10.211.55.9:9200/_plugin/head/
在这里插入图片描述在这里插入图片描述
访问http://10.211.55.11:5601,创建新索引
在这里插入图片描述
观察到有访问数据
在这里插入图片描述

步骤四、配置图表:10.211.55.10 web访问量
在这里插入图片描述
在这里插入图片描述

-KamMinG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
企业运维实战--ELK日志分析平台之kibana数据可视化
Rabbit_hyl的博客
08-14 555
企业运维实战--ELK日志分析平台之kibana数据可视化前言--kibana简介kibana数据可视化内部采集插件采集metricbeatfilebeat 前言–kibana简介 kibana数据可视化 rpm -ivh kibana-7.6.1-x86_64.rpm vim /etc/kibana/kibana.yml server.port: 5601 server.host: "172.25.9.7" elasticsearch.hosts: ["http://172.25.9.4:9200"]
ELK实战-收集Apache访问日志
qq_41466440的博客
12-01 530
收集Apache访问日志
企业运维实战--ELK日志分析平台之elasticsearch实战
凡哥的博客
12-12 233
ELK日志分析平台-简介 ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成: 1)ElasticSearch是一个基于Lucene的开源分布式搜索服务器。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTfulweb接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是第二流行的企业搜索引擎。设计用于云计算
ELK实战--分析Apache访问日志并生成视图
weixin_34308389的博客
11-01 405
一、背景 我们的ELK架构如下图所示,各个应用节点日志直接通过rsyslog实时传输到Logstash节点,Logstash对生成的各节点日志文件做处理后传输到Elashticsearch。 二、 logstash配置文件 input部分 input { file { type => "apache_log" path => [ "/opt/data/logs/idca-web1-...
ELK实战篇--logstash日志收集eslaticsearch和kibana
山东梅长苏
03-15 3663
前篇:ELK6.2.2日志分析监控系统搭建和配置ELK实战篇好,现在索引也可以创建了,现在可以来输出nginx、apache、message、secrue的日志到前台展示(Nginx有的话直接修改,没有自行安装)编辑nginx配置文件,修改以下内容(在http模块下添加) log_format json '{"@timestamp":"$time_iso8601",' ...
企业运维实战--ELK日志分析平台之logstash数据采集
Rabbit_hyl的博客
08-14 521
企业运维实战--ELK日志分析平台之logstash数据采集前言--logstash简介logstash数据采集安装日志采集输出插件 前言–logstash简介 Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。 logstash数据采集 安装 rpm -ivh jdk-8u171-linux-x64.rpm rpm -ivh logstash-7.6.1.rpm 日志采集输出插件 命令行数据采集并显示
企业运维实战--ELK日志分析平台 logstash数据采集
凡哥的博客
12-13 183
前言–logstash简介 Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。 logstash数据采集 安装 rpm -ivh jdk-8u171-linux-x64.rpm rpm -ivh logstash-7.6.1.rpm 在这里插入图片描述 日志采集输出插件 命令行数据采集并显示到终端 /usr/share/logstash/bin/logstash -e ‘input { stdin {}} o
ELK日志分析系统-ELK实战
最美dee时光的博客
04-15 590
接上一篇:搭建ELK日志分析系统-ELK搭建篇 1、es配置如下 192.168.171.129 192.168.171.139(并已经安装head插件,通129操作) 访问head并查看 好,现在索引也可以创建了,现在可以来输出nginx、apache、message、secrue的日志到前台展示(Nginx有的话直接修改,没有自行安装) 编辑nginx配置文件,修改以下内容(在http模...
企业运维实战--ELK日志分析平台的kibana数据可视化
凡哥的博客
12-15 310
kibana简介 kibana 是一款开源的数据分析和可视化平台,它是 Elastic Stack 成员之一,设计用于和 Elasticsearch 协作。您可以使用 Kibana 对 Elasticsearch 索引中的数据进行搜索、查看、交互操作。您可以很方便的利用图表、表格及地图对数据进行多元化的分析和呈现。 kibana数据可视化 安装rpm包 rpm -ivh kibana-7.6.1-x86_64.rpm 编辑主配文件 vim /etc/kibana/kibana.yml server.po
ElasticSearch监控集群状态查询方式
Kammingo的博客
06-19 3165
ES查看集群的状态实际上也是使用RESTful的接口,一般用的是GET方法 http://[主机IP]:[ES端口] 通常我们启动服务器之后,就可以通过这个简单的方式来验证服务器是否启动成功。 从下面返加的JSON我们可以得到该节点的节点名,所属集群名,ES版本号,lucene版本号 1、查看集群的健康状态 http://ip:9200/_cat/health?v RL中_cat表示查看信息,health表明返回的信息为集群健康信息,?v表示返回的信息加上头信息,跟返回JSON信息加上?pretty同理
Kafka管理工具实例应用
Kammingo的博客
06-17 857
Kafka管理工具:kafka-manager 步骤一、下载安装包 使用sbt的方式重新编译实在太慢了,这里提供免费下载链接!! 免费下载地址: 链接:https://pan.baidu.com/s/1Epv8zJ6YCA36tj1E3uk1oA 提取码:y4en 步骤二、解压安装包 # unzip kafka-manager-1.3.0.7.zip # cd kafka-manager-1.3.0.7/conf/ 步骤三、修改配置文件 # vim application.conf kafka-manag
ELK+kafka集群搭建
Kammingo的博客
05-19 511
环境部署: es1-192.168.120.128-Elasticsearch5.6/zookeeper2.11-1.1.0/kafka_2.11-1.1.0 es2-192.168.120.129-Elasticsearch5.6/zookeeper2.11-1.1.0/kafka_2.11-1.1.0 es3-192.168.120.130-Elasticsearch5.6/zookeeper2.11-1.1.0/kafka_2.11-1.1.0 logstash-192.168.120.131-Log
认识Logstash插件
Kammingo的博客
04-27 447
Logstash: Logstash是一个具有实时pipeline功能的开源数据收集引擎。Logstash可以动态的统一来自不同数据源的数据,并将数据规范化到你选择的目的地。虽然Logstash最初推动了日志收集方面的创新,但它的功能现在更丰富了。任何类型的事件都可以通过丰富的input,filter,output插件进行转换,简化抽取过程。 环境概况 系统类型:Centos7 elasticse...
filebeat+kafka+ELK日志方案(Docker版)
Kammingo的博客
11-26 440
一、架构图 二、环境介绍 kafka、ELk均用Docker运行:192.168.120.129 在192.168.120.129部署filebeat采集日志 三、部署方案 步骤一、优化系统参数 # vim /etc/sysctl.conf vm.max_map_count=655360 # sysctl -p vm.max_map_count = 655360 步骤二、Docker搭建ELK 参考上篇博客:Docker部署ELK简单运行 es端口:9204,kibana端口:5601 此时查看容器情
Docker部署ELK简单运行
Kammingo的博客
11-19 424
测试环境:192.168.120.129 一、搭建elasticsearch 1、准备镜像,含elasticsearch-head插件 # vim Dockerfile FROM elasticsearch:2.3.5 RUN /usr/share/elasticsearch/bin/plugin install mobz/elasticsearch-head EXPOSE 9200 2、创建镜像 # docker build -t "es_test" .# docker images REPOSITOR
Kafka常用命令的使用
Kammingo的博客
06-10 365
Kafka常用命令 # cd /opt/elk/kafka_2.11-1.1.0/bin 1、kafka服务启动: # ./kafka-server-start.sh ../config/server.properties 2、查看有哪些主题: # ./kafka-topics.sh --list --zookeeper zk服务IP:2181 3、创建topic: # ./kafka-topics.sh --create --zookeeper zk服务IP:2181 --replicatio
elasticsearch6.6.1安装head插件,亲测有效!
Kammingo的博客
06-19 308
步骤一、安装依赖nodejs # mkdir /usr/local/nodejs # cd /usr/local/nodejs # wget https://npm.taobao.org/mirrors/node/latest-v8.x/node-v8.17.0-linux-x64.tar.gz # tar -xf node-v8.17.0-linux-x64.tar.gz # node -v v8.17.0 # vim /etc/profile export NODE_HOME=/usr/local/no
ELK简单部署
Kammingo的博客
12-17 219
ELK简单部署 环境概况 系统类型:Centos7 elasticsearch:10.211.55.9 logstash:10.211.55.10 kibana:10.211.55.11 相关软件包链接:https://pan.baidu.com/s/1vFrsjONk-7ZPNb8sfOOAAA 提取码:pcjt 需关闭防火墙 systemctl stop firewalld setenforc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值