ELK简单实战---分析httpd的日志

最新推荐文章于 2024-04-08 18:07:18 发布
最新推荐文章于 2024-04-08 18:07:18 发布
阅读量328 收藏
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kammingo/article/details/105795753
版权

本章介绍filter grok插件,分析httpd的日志

grok插件:
解析各种非结构化的日志数据插件
grok使用正则表达式把飞结构化的数据结构化
在分组匹配,正则表达式需要根据具体数据结构编写
虽然编写困难,但适用性极广,几乎可以应用于各类数据

分析httpd的日志

# vim /etc/httpd/conf/httpd.conf         //查看access_log的日志格式
196 LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
217 CustomLog "logs/access_log" combined
# /var/log/httpd/access_log               //随便选一段对应查看
192.168.1.254 - - [27/Dec/2018:09:15:35 +0800] "GET /favicon.ico HTTP/1.1" 404 209 "http://192.168.1.100/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"

参考网站:http://httpd.apache.org、金步国

步骤一、

# vim /etc/logstash/logstash.conf
input{
    stdin{ codec => "json" }
    file{
      path => ["/tmp/a.log","/var/tmp/b.log"]
     #sincedb_path => "/var/lib/logstash/since.db"    
      sincedb_path => "/dev/null"          //仅实验环境可用,不用读之前就删除
      start_position => "beginning"
      type => "testlog"
    }
    tcp{
     host => "0.0.0.0"
     mode => "server"
     port => 8888
     type => "tcplog"
}
    udp{
     host => "0.0.0.0"
     port => 8888
     type => "udplog"
}
     syslog {
     port => "514"
     type => "syslog"
}
}
filter{
     grok{
       match => { "message" => "(?<ip>[0-9.]+) (?<ident>\S+) (?<user>\S+) \[(?<time>.+)\] \"(?<method>[A-Z]+) (?<url>\S+) (?<ver>\S+)\" (?<rc>\d+) (?<size>\d+) \"(?<ref>\S+)\" \"(?<agent>[^\"]+).*" }
}
}
output{
    stdout{ codec => rubydebug }
}
复制/var/log/httpd/access_log的日志到logstash下的/tmp/a.log
# vim /tmp/a.log 
192.168.1.254 - - [27/Dec/2018:09:15:35 +0800] "GET /favicon.ico HTTP/1.1" 404 209 "http://192.168.1.100/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36"
# logstash -f /etc/logstash/logstash.conf
# cd \
/opt/logstash/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-2.0.5/patterns/
# vim grok-patterns            //查找正则宏路径
COMBINEDAPACHELOG %{COMMONAPACHELOG} %{QS:referrer} %{QS:agent}                              //查找COMBINEDAPACHELOG
#  vim /etc/logstash/logstash.conf
...
filter{
   grok{
        match => {"message", "%{COMBINEDAPACHELOG}"}
  }
}
...
# logstash -f  /etc/logstash/logstash.conf

步骤二、安装Apache服务,用filebeat收集Apache服务器的日志,存入elasticsearch
web、logstash:10.211.55.10
在安装了Apache的主机上面安装filebeat

# yum -y install filebeat
# vim /etc/filebeat/filebeat.yml  
paths:
    - /var/log/httpd/access_log     //日志的路径,短横线加空格代表yml格式
document_type: apachelog        //文档类型
#elasticsearch:                    //加上注释
hosts: ["localhost:9200"]          //加上注释
logstash:                          //去掉注释
hosts: ["192.168.1.20:5044"]     //去掉注释,logstash那台主机的ip
# grep -Pv "^\s*(#|$)" /etc/filebeat/filebeat.yml 
# systemctl restart filebeat
# vim /etc/logstash/logstash.conf
input{
    stdin{ codec => "json" }
    beats{
      port => 5044
    }
    file{
      path => ["/tmp/a.log","/var/tmp/b.log"]
      sincedb_path => "/var/lib/logstash/since.db"    
      #sincedb_path => "/dev/null"
      start_position => "beginning"
      type => "testlog"
    }
    tcp{
     host => "0.0.0.0"
     mode => "server"
     port => 8888
     type => "tcplog"
}
    udp{
     host => "0.0.0.0"
     port => 8888
     type => "udplog"
}
     syslog {
     port => "514"
     type => "syslog"
}
}
filter{
     grok{
       match => { "message" => "{%COMBINEDAPACHELOG}"}
}
}
output{
    stdout{ codec => rubydebug }
      if [type] == "apachelog"{
      elasticsearch{
        hosts => ["10.211.55.9:9200"]
        index => "weblog-%{+YYYY.MM.dd}"
    }}
}

打开另一logstash终端查看5044是否成功启动
# netstat -antup | grep 5044
访问web主机:
# firefox http://10.211.55.10/
# for i in {1..30}
> do
> curl http://10.211.55.10/ -so /dev/null
> done

步骤三、
访问http://10.211.55.9:9200/_plugin/head/
在这里插入图片描述在这里插入图片描述
访问http://10.211.55.11:5601,创建新索引
在这里插入图片描述
观察到有访问数据
在这里插入图片描述

步骤四、配置图表:10.211.55.10 web访问量
在这里插入图片描述
在这里插入图片描述

-KamMinG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
httpd日志/状态页面
studywinwin的博客
01-29 1651
文章目录 配置文件与日志相关的记录 ErrorLog "logs/error_log" LogLevel warn <IfModule log_config_module> LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined LogFormat "%h ...
groker:简单的库来解析go的grok模式
05-25
古怪的人 简单的库,可以解析gook的grok模式。 这个小工具从标准输入读取,应用grok模式并将捕获的字段转储为JSON。 例子 cat apache.log | groker -pattern=%{COMMONAPACHELOG} echo " Hello 123 " | groker -pattern= " %{WORD:word} %{WORD:number} " // output: { " number " : " 123 " , " word " : " Hello " } echo " 2015-06-16T01:47:07.665Z " | ./groker -pattern= " %{TIMESTAMP_ISO8601:time} " { " HOUR " : " " , " ISO8601_TIMEZONE " : " Z " , " MINUTE " : "
apache日志分析简介
x-developer
04-11 685
上次因工作的需求对一台apache的log做了一次整体的分析,所以顺便也对apache的日志分析做下简单的介绍,主要参考apache官网的Log Files,手册参照 http://httpd.apache.org/docs/2.2/logs.html 一.日志分析 如果apache的安装时采用默认的配置,那么在/logs目录下就会生成两个文件,分别是access_log和error_lo
Apache日志分析
03-28 4792
 一、日志分析如果Apache的安装方式是默认安装,服务器一运行就会有两个日志文件生成。这两个文件是access_log和error_log。采用默认安装方式时,这些文件可以在/usr/local/apache/logs下找到。其中access_log为访问日志,记录了所有对Web服务器的访问活动。下面是访问日志中一个典型的记录:192.168.1.100 - - [17/Mar/2004:01:
apache httpd日志
SunMy的博客
05-26 4634
日志 记录和分析日志可快速找到系统产生的问题 统计日志可以作为系统优化和升级的依据 apache httpd日志 日志文件默认路径 /etc/httpd/logs/ 官方参考帮助: http://httpd.apache.org/docs/2.4/mod/mod_log_config.html#formats [15:11:56 root@C8-88[ ~]#ll /etc/httpd/logs/ total 2308 -rw-r--r-- 1 root root 0 May 26 0
Elasticsearch:如何处理 ingest pipeline 中的异常
Elastic 中国社区官方博客
11-17 3569
在我之前的文章 “如何在 Elasticsearch 中使用 pipeline API 来对事件进行处理” 中,我详细地介绍了如何创建并使用一个 ingest pipeline。简单地说 pipeline 是一系列处理器的定义,这些处理器将按照声明的顺序执行。 pipeline 包含两个主要字段:描述和处理器列表: 在这里,特别需要指出的是 pipeline 是运行于 ingest node 之上的。所有的 ingest pipeline 被保存于 cluster state 中。 Pipel.
Kibana配置logstash,报表一体化
weixin_34122548的博客
11-02 354
Logstash:接收,处理,转发日志Elasticsearch:文档型数据库,实时的分布式搜索和分析引擎Kibana:查询、生成报表的web GUI 在安装目录bin文件夹里新建一个logstash.conf一般配置如下: # 输入输入 input { stdin {} } # 数据处理 filter { grok { ...
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统
11-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-03-kibana索引模式创建与.mp4
Linux运维-04-日志分析-日志监控ELK-day03-生产案例及G
11-02
"Linux运维-04-日志分析-日志监控ELK-day03-生产案例及Git版本控制"这个主题深入探讨了如何使用ELK(Elasticsearch、Logstash、Kibana)堆栈进行日志管理和分析,并结合Git进行版本控制,以提升工作效率。...
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与ela
11-01
Linux运维-04-日志分析-日志监控ELK-day01-ELK概述与elasticsearch部署11-es-hea.mp4
httpd日志分析 (Java)
AI3721的博客
10-24 576
...
关于Apache的日志
weixin_34067980的博客
04-24 583
本文分五个部分:访问日志、错误日志、定制日志日志分析、其他用法。摘自永远的Linux,做了一些修整。 Apche日志系列(1):访问日志   想要知道什么人在什么时候浏览了网站的哪些内容吗?查看Apache的访问日志就可以知道。访问日志是Apache的标准日志,本文详细解释了访问日志的内容以及相关选项的配置。  一、访问日志的格式   Apache内建了记录服务器活动的功能,这就是它的日志功能。...
【linux】apache的访问日志详解及演练
最新发布
2401_83817171的博客
04-08 839
遇到问题我们一般需要看日志,服务日志和系统日志,但是apache有个访问日志,这个日志是用来做啥的,我们今天一起来探讨下。
深入了解Apache 日志,Apache 日志分析工具
ITmoster的博客
01-03 1349
Apache 访问日志信息是管理 Web 服务器不可或缺的一部分,使用 EventLog Analyzer 分析它们是增强网络安全的主动且有效的方法,它使组织能够有效地检测、响应和缓解安全威胁,最终保护其 Web 服务器和数字资产。
开源实时日志分析平台-ELK httpd+filebeat
weixin_45579753的博客
10-25 223
我们在cong12上部署httpd服务器,然后安装filebeat,使用filebeat收集httpd日志文件,把收集到的日志发送给logstash,让logstash过滤日志,把过滤完的日志保存到elasticsearch,然后通过kibana展示出来。 2.4.9.34、 安装httpd [root@cong12 ~]# yum install -y httpd 2.4.9.35、 启动httpd [root@cong12 ~]# systemctl start httpd 2.4.9.36、 设置开机
Apache访问日志
jkzyx123的博客
04-20 762
1、配置日志的格式 可以在httpd.conf配置文件中设置日志的格式: LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined combined表示日志格式别名 %h表示来源ip,%l表示login的用户,%u表示用户,%t表示时间,%r表示行为(get或者head),%s表示状态码,%b表示的大小,%{Referer}i表示浏览器上一次访问的地址,%{User-Agent}i表示访问
Windows环境下的ELK——收集apache标准日志(3)
世界既不黑也不白,而是一道精致的灰。
06-23 352
访问http://ip:9200/ 出现如下图,运行成功 出现如下图,则运行成功 与bin同级目录 三、执行 1.cmd进入bin目录 2.执行conf文件 3.输入消息 按步骤来,创建完成
带你了解Apache的配置和日志
weixin_50345059的博客
11-27 857
Apache配置与应用一、连接保持二、配置访问控制2、第二种拒绝指定ip访问Apache访问控制用户访问授权日志分割三、1、1配置日志分隔(错误访问)三1、2配置日志分隔(正确访问)四、用cronolog进行日志分隔五、配置AWstats日志分析软件 一、连接保持 [root@server1 ~]#vi /usr/local/httpd/conf/extra/httpd-default.conf KeepAlive On //是否开启连接保持功能 MaxKeepAliveRequests
Linux 下 apache 日志分析与状态查看
热门推荐
qingflyer的专栏
05-19 1万+
<br /><br />假设apache日志格式为:<br /> <br />118.78.199.98 – - [09/Jan/2010:00:59:59 +0800] “GET /Public/Css/index.css HTTP/1.1″ 304 – “http://www.a.cn/common/index.php” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6.3)”<br /> <br />问题1:在apachelog
ELK日志归集实战:Filebeat-Kafka-Logstash-Elasticsearch链路解析
"ELK日志归集是一个用于管理和分析日志数据的解决方案,由Elastic Stack中的Elasticsearch、Logstash、Kibana(ELK)以及Filebeat组件构成。此文档详细介绍了如何搭建和使用ELK栈,特别是在日志归集中利用Filebeat和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值