ELK日志系统开发,Logstash收集nginx日志(二)

最新推荐文章于 2024-05-09 10:42:00 发布
最新推荐文章于 2024-05-09 10:42:00 发布
阅读量1.2w 收藏 5
点赞数 1
分类专栏: 大数据处理 运维经验 ELK日志系统开发 文章标签: ELK nginx logstash kibana Elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loophome/article/details/52353869
版权

一、Nginx日志例子

Nginx日志例子

nginx日志默认配置:

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                  '$status $body_bytes_sent "$http_referer" '
                  '"$http_user_agent" "$http_x_forwarded_for" $upstream_response_time';

nginx日志记录:

183.3.226.234 - - [16/Jul/2018:17:23:33 +0800] "POST /app/user/exchangeRC?token=undefined HTTP/1.1" 200 124 "http://test.com/dist/myroomcard.html" "Mozilla/5.0 (Linux; Android 7.1.1; OPPO R11 Build/NMF26X; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/044113 Mobile Safari/537.36 MicroMessenger/6.6.7.1320(0x26060739) NetType/4G Language/zh_CN" "117.136.40.160" 0.070

 

二、使用grok表达式进行匹配

针对以上的一条记录,我们先写一个正则表达式进行匹配:

PS:grokdebug网站:http://grokdebug.herokuapp.com/,可以线上测试gork表达式(国内google.api前端资源被墙了,因此需要本地代理资源或者翻墙才能使用)

grok表达式为:

%{COMBINEDAPACHELOG} %{QS:http_x_forwarded_for} %{NUMBER:upstream_time}

%{COMBINEDAPACHELOG}:这个是匹配标准的apache或者nginx日志。

%{QS:http_x_forwarded_for}:匹配来源IP,如果使用负载均衡的话,$remote_addr获取的是负载均衡的IP

%{NUMBER:upstream_time}:后端PHP的执行时间,单位为秒

匹配结果如下:

{
  "COMBINEDAPACHELOG": [
    [
      "183.3.226.234 - - [16/Jul/2018:17:23:33 +0800] "POST /app/user/exchangeRC?token=undefined HTTP/1.1" 200 124 "http://test.com/dist/myroomcard.html" "Mozilla/5.0 (Linux; Android 7.1.1; OPPO R11 Build/NMF26X; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/044113 Mobile Safari/537.36 MicroMessenger/6.6.7.1320(0x26060739) NetType/4G Language/zh_CN""
    ]
  ],
  "COMMONAPACHELOG": [
    [
      "183.3.226.234 - - [16/Jul/2018:17:23:33 +0800] "POST /app/user/exchangeRC?token=undefined HTTP/1.1" 200 124"
    ]
  ],
  "clientip": [
    [
      "183.3.226.234"
    ]
  ],
  "HOSTNAME": [
    [
      "183.3.226.234"
    ]
  ],
  "IP": [
    [
      null
    ]
  ],
  "IPV6": [
    [
      null
    ]
  ],
  "IPV4": [
    [
      null
    ]
  ],
  "ident": [
    [
      "-"
    ]
  ],
  "USERNAME": [
    [
      "-",
      "-"
    ]
  ],
  "auth": [
    [
      "-"
    ]
  ],
  "timestamp": [
    [
      "16/Jul/2018:17:23:33 +0800"
    ]
  ],
  "MONTHDAY": [
    [
      "16"
    ]
  ],
  "MONTH": [
    [
      "Jul"
    ]
  ],
  "YEAR": [
    [
      "2018"
    ]
  ],
  "TIME": [
    [
      "17:23:33"
    ]
  ],
  "HOUR": [
    [
      "17"
    ]
  ],
  "MINUTE": [
    [
      "23"
    ]
  ],
  "SECOND": [
    [
      "33"
    ]
  ],
  "INT": [
    [
      "+0800"
    ]
  ],
  "verb": [
    [
      "POST"
    ]
  ],
  "request": [
    [
      "/app/user/exchangeRC?token=undefined"
    ]
  ],
  "httpversion": [
    [
      "1.1"
    ]
  ],
  "BASE10NUM": [
    [
      "1.1",
      "200",
      "124",
      "0.070"
    ]
  ],
  "rawrequest": [
    [
      null
    ]
  ],
  "response": [
    [
      "200"
    ]
  ],
  "bytes": [
    [
      "124"
    ]
  ],
  "referrer": [
    [
      ""http://test.com/dist/myroomcard.html""
    ]
  ],
  "QUOTEDSTRING": [
    [
      ""http://test.com/dist/myroomcard.html"",
      ""Mozilla/5.0 (Linux; Android 7.1.1; OPPO R11 Build/NMF26X; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/044113 Mobile Safari/537.36 MicroMessenger/6.6.7.1320(0x26060739) NetType/4G Language/zh_CN"",
      ""117.136.40.160""
    ]
  ],
  "agent": [
    [
      ""Mozilla/5.0 (Linux; Android 7.1.1; OPPO R11 Build/NMF26X; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/044113 Mobile Safari/537.36 MicroMessenger/6.6.7.1320(0x26060739) NetType/4G Language/zh_CN""
    ]
  ],
  "http_x_forwarded_for": [
    [
      ""117.136.40.160""
    ]
  ],
  "upstream_time": [
    [
      "0.070"
    ]
  ]
}

 

三、整理我们所需要的字段

以上通过正则表达式匹配的结果,可以获取到

字段名称说明
clientip请求的IP来源
timestamp请求时间
verb请求方式
request请求地址
responsehttp响应码

这里就不一一列举了

四、后续修饰

通过grok正则表达式,我们已经获取到我们想要的数据了,但是数据类型有些不对,比如upstream_time发送到es是String格式,我们需要转换为float。

这里需要使用到filter中的date和mutate插件,最终的config配置文件如下:

input {
  file {
        path => "/data0/log_receiver/nginx/access.log"
  }
}
filter {
  grok {
        match => { "message" => "%{COMBINEDAPACHELOG} %{QS:http_x_forwarded_for} %{NUMBER:upstream_time}"}
  }
  mutate {convert => ["upstream_time", "float"]}
}
output {
  elasticsearch {
    hosts => "logview-es.yunshanpp.com:80"
    index => "xinghuo-nginx-%{+YYYY.MM.dd}"
  }
}

ELK日志系统开发,Kibana简单实用Discover(三)

 

loophome
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ELK日志收集系统完全实现
01-27
ELKElasticsearch, Logstash, Kibana日志收集系统是一种广泛使用的日志管理和分析解决方案。它能够高效地收集、解析、存储和展示应用程序及系统日志数据,帮助运维人员监控系统状态,排查问题,进行数据分析。...
logstash处理nginx日志时,字段总是进不到ES里面,那就是你grok语句写错了!
u012452555的博客
07-08 689
nginx的access日志logstash在配ngrok的时候,最初用的是COMBINEDAPACHELOG,听说是写好的匹配nginx日志,就打算拿来直接用。 把logstash跑起来就发现,字段都没进es里去,message却是有的,仔细看tag标签有个提示:_grokparsefailure。哦,原来ngrok报错了。 想想也是。elastic家也没有责任必须匹配nginx那么准确,nginx升个级什么的,COMBINEDAPACHELOG也不能保证更新。 其实nginx默认的log_.
Logstash:配置例子
Elastic 中国社区官方博客
07-12 2003
今天看了一下 Elastic 的官方例子。觉得还是很不错。在今天的文章中,我就常见的几种格式的日志来做一个说明,希望对大家有所帮助。关于 Logstash,我之前有做一个 meetup。里面还含有一个完整的例子。你可以在如下的地址进行查看: LogstashLogstash 入门教程 (一) LogstashLogstash 入门教程 () 另外,我的另外一篇文章 “Logstash:Data转换,分析,提取,丰富及核心操作” 里面含有丰富的例子供大家阅读。 以下示例说明了如何配置 Logst.
2024年软件测试最新ubuntu搭建日志分析工具ELK收集Nginx日志_ubuntu22安装elk,学习路线+知识点梳理
最新发布
2401_84731999的博客
05-09 388
KaTeX parse error: Expected 'EOF', got '#' at position 22: …KaTeX parse error: Expected 'EOF', got '#' at position 22: …KaTeX parse error: Expected 'EOF', got '#' at position 12: request", '#̲记录请求的URL和HTTP协议…http_x_forwarded_for”, '#记录客户端IP地址。
ELK日志分析--Logstash
qq_47800859的博客
02-23 271
Logstash简介 Logstash安装 测试运行 配置输入和输出 使用Geoip过滤器插件增强数据编辑 配置接收 Beats 的输入
Apache combined格式的日志分析
webcenterol
09-12 655
Apache combined格式的日志分析 今天访问http://211.100.97.250/zabbix/ 之后,查看了一看访问日志,便要看个究竟 先看一下apache配置文件中定义的日志格式: CustomLog "logs/access_log" combined LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\...
【弄nèng - Logstash】入门篇()—— 使用Logstash解析Apache Web日志(使用Filebeat采集数据)
司马缸砸缸了
02-10 632
文章目录一. 简介. 实现2.1 下载安装2.2 配置输入端Filebeat2.3 配置logstash2.3 使用Grok过滤器插件解析Web日志编辑2.4 使用Geoip过滤器插件增强数据编辑2.5 输出到es源码地址项目推荐 该系列博客是Logstash的学习应用,部分示例来自官方文档。 参考: 官方文档 使用Logstash解析日志 一. 简介 示例来自官网,在本部分中,您将创建一个...
详解用ELK来分析Nginx服务器日志的方法
09-30
主要介绍了用ELK来分析Nginx服务器日志的方法,ELK是三个开源软件的缩写,分别表示Elasticsearch,Logstash,Kibana,需要的朋友可以参考下
ELK日志系统实施方案.docx
04-17
ELK日志系统,由ElasticsearchLogstash(在本方案中替换为Filebeat)、Kibana三个组件组成,是目前广泛应用的日志管理和分析解决方案。本文将详述如何实施一个基于ElasticsearchKibana和Filebeat的轻量级日志...
linux平台centos7系统 - ELK+logback+kafka+nginx 搭建分布式日志分析平台.doc
03-23
【Linux平台CentOS7系统 - ELK+logback+kafka+nginx搭建分布式日志分析平台】 在复杂的IT环境中,日志管理和分析对于诊断问题、优化性能以及确保系统稳定性至关重要。ELK栈(ElasticsearchLogstashKibana)正是...
使用MongoDB分析Nginx日志的方法详解
09-09
同时,可视化的处理也可以帮助更好地理解日志数据,例如通过ELKElasticsearchLogstashKibana)堆栈进行实时日志分析。 在本案例中,我们将关注如何利用MongoDB分析Nginx日志,特别是找出访问最多的IP并评估其...
elk(都是6.2.4重点-版本2-收集nginx日志-无filebeat
07-09
在这个场景中,我们将搭建 ELK Stack 6.2.4 版本,特别关注如何在没有 Filebeat 的情况下,通过 Logstash 直接收集 Nginx 日志,并利用 Redis 作为中间缓存,最终将日志数据写入 Elasticsearch 分析和绘图。...
使用ELK搭建日志集中分析平台实践
01-27
Elasticsearch+Logstash+KibanaELK)是一套开源的日志管理方案,分析网站的访问情况时我们一般会借助Google/百度/CNZZ等方式嵌入JS做数据统计,但是当网站访问异常或者被攻击时我们需要在后台分析如Nginx的具体...
elk(都是6.2.4重点-版本2-收集nginx日志-用filebeat
07-09
ELK Stack与Nginx日志收集ELK Stack,即ElasticsearchLogstashKibana的组合,是一种流行的日志管理和分析工具。在这个场景中,我们使用的是ELK Stack的6.2.4版本,目的是为了收集Nginx服务器的日志并进行...
ELK6.8安装以及日志分析实战手册.docx
02-02
ELK Stack(Elasticsearch, Logstash, Kibana)是一个流行的数据收集、存储、分析和可视化平台,常用于日志管理和监控。以下是 ELK Stack 的主要组件及其安装与配置的详细步骤: 1. **Elasticsearch** - **简介**...
Logstash中的Grok正则捕获
Ghost Stories
02-08 4061
概述 Grok 是 Logstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式 Grok 支持把预定义的 grok 表达式 写入到文件中,官方提供的预定义 grok 表达式见:https://github.com/logstash-plugins/logstash-patterns-core/tree/master/patterns。 grok的语法格式为 %{...
Elasticsearch系列组件:Logstash强大的日志管理和数据分析工具
栗筝i的博客
10-17 3123
Logstash 是一个开源的数据收集引擎,它具有实时管道功能,可以用来统一处理来自不同源的数据,并将其发送到你选择的目标。Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等,可以对数据进行各种转换和处理,然后将数据发送到各种目标,如 Elasticsearch、Kafka、邮件通知等。Logstash 的主要特点包括:多输入源:Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等。
Apache条件日志、格式,组合日志combined,通用日志common
hnxuwei的博客
01-25 7069
许多时候,根据与请求特征相关的环境变量来有选择地记录某些客户端请求会带来便利。首先,需要使用SetEnvIf指令来设置特定的环境变量以标识符合某种特定条件的请求,然后用CustomLog指令的 env= 子句,根据这些环境变量来决定记录或排除特定的请求。例如:// 不记录本机发出的请求 SetEnvIf Remote_Addr "127\.0\.0\.1" dontlog // 不记录对robots
"Docker搭建ELK6.7.1集群收集Nginx JSON日志
为了搜集nginx-json日志,我们可以通过docker安装ELK6.7.1。首先需要规划好各个组件的IP地址:192.168.171.130用于nginx和filebeat、192.168.171.131也用于nginx和filebeat、192.168.171.128用于redis、192.168.171....
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值