ELK日志系统开发,Logstash收集nginx日志(二)

最新推荐文章于 2024-05-09 10:42:00 发布
最新推荐文章于 2024-05-09 10:42:00 发布
阅读量1.2w 收藏 5
点赞数 1
分类专栏: 大数据处理 运维经验 ELK日志系统开发 文章标签: ELK nginx logstash kibana Elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loophome/article/details/52353869
版权

一、Nginx日志例子

Nginx日志例子

nginx日志默认配置:

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                  '$status $body_bytes_sent "$http_referer" '
                  '"$http_user_agent" "$http_x_forwarded_for" $upstream_response_time';

nginx日志记录:

183.3.226.234 - - [16/Jul/2018:17:23:33 +0800] "POST /app/user/exchangeRC?token=undefined HTTP/1.1" 200 124 "http://test.com/dist/myroomcard.html" "Mozilla/5.0 (Linux; Android 7.1.1; OPPO R11 Build/NMF26X; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/044113 Mobile Safari/537.36 MicroMessenger/6.6.7.1320(0x26060739) NetType/4G Language/zh_CN" "117.136.40.160" 0.070

 

二、使用grok表达式进行匹配

针对以上的一条记录,我们先写一个正则表达式进行匹配:

PS:grokdebug网站:http://grokdebug.herokuapp.com/,可以线上测试gork表达式(国内google.api前端资源被墙了,因此需要本地代理资源或者翻墙才能使用)

grok表达式为:

%{COMBINEDAPACHELOG} %{QS:http_x_forwarded_for} %{NUMBER:upstream_time}

%{COMBINEDAPACHELOG}:这个是匹配标准的apache或者nginx日志。

%{QS:http_x_forwarded_for}:匹配来源IP,如果使用负载均衡的话,$remote_addr获取的是负载均衡的IP

%{NUMBER:upstream_time}:后端PHP的执行时间,单位为秒

匹配结果如下:

{
  "COMBINEDAPACHELOG": [
    [
      "183.3.226.234 - - [16/Jul/2018:17:23:33 +0800] "POST /app/user/exchangeRC?token=undefined HTTP/1.1" 200 124 "http://test.com/dist/myroomcard.html" "Mozilla/5.0 (Linux; Android 7.1.1; OPPO R11 Build/NMF26X; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/044113 Mobile Safari/537.36 MicroMessenger/6.6.7.1320(0x26060739) NetType/4G Language/zh_CN""
    ]
  ],
  "COMMONAPACHELOG": [
    [
      "183.3.226.234 - - [16/Jul/2018:17:23:33 +0800] "POST /app/user/exchangeRC?token=undefined HTTP/1.1" 200 124"
    ]
  ],
  "clientip": [
    [
      "183.3.226.234"
    ]
  ],
  "HOSTNAME": [
    [
      "183.3.226.234"
    ]
  ],
  "IP": [
    [
      null
    ]
  ],
  "IPV6": [
    [
      null
    ]
  ],
  "IPV4": [
    [
      null
    ]
  ],
  "ident": [
    [
      "-"
    ]
  ],
  "USERNAME": [
    [
      "-",
      "-"
    ]
  ],
  "auth": [
    [
      "-"
    ]
  ],
  "timestamp": [
    [
      "16/Jul/2018:17:23:33 +0800"
    ]
  ],
  "MONTHDAY": [
    [
      "16"
    ]
  ],
  "MONTH": [
    [
      "Jul"
    ]
  ],
  "YEAR": [
    [
      "2018"
    ]
  ],
  "TIME": [
    [
      "17:23:33"
    ]
  ],
  "HOUR": [
    [
      "17"
    ]
  ],
  "MINUTE": [
    [
      "23"
    ]
  ],
  "SECOND": [
    [
      "33"
    ]
  ],
  "INT": [
    [
      "+0800"
    ]
  ],
  "verb": [
    [
      "POST"
    ]
  ],
  "request": [
    [
      "/app/user/exchangeRC?token=undefined"
    ]
  ],
  "httpversion": [
    [
      "1.1"
    ]
  ],
  "BASE10NUM": [
    [
      "1.1",
      "200",
      "124",
      "0.070"
    ]
  ],
  "rawrequest": [
    [
      null
    ]
  ],
  "response": [
    [
      "200"
    ]
  ],
  "bytes": [
    [
      "124"
    ]
  ],
  "referrer": [
    [
      ""http://test.com/dist/myroomcard.html""
    ]
  ],
  "QUOTEDSTRING": [
    [
      ""http://test.com/dist/myroomcard.html"",
      ""Mozilla/5.0 (Linux; Android 7.1.1; OPPO R11 Build/NMF26X; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/044113 Mobile Safari/537.36 MicroMessenger/6.6.7.1320(0x26060739) NetType/4G Language/zh_CN"",
      ""117.136.40.160""
    ]
  ],
  "agent": [
    [
      ""Mozilla/5.0 (Linux; Android 7.1.1; OPPO R11 Build/NMF26X; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/044113 Mobile Safari/537.36 MicroMessenger/6.6.7.1320(0x26060739) NetType/4G Language/zh_CN""
    ]
  ],
  "http_x_forwarded_for": [
    [
      ""117.136.40.160""
    ]
  ],
  "upstream_time": [
    [
      "0.070"
    ]
  ]
}

 

三、整理我们所需要的字段

以上通过正则表达式匹配的结果,可以获取到

字段名称说明
clientip请求的IP来源
timestamp请求时间
verb请求方式
request请求地址
responsehttp响应码

这里就不一一列举了

四、后续修饰

通过grok正则表达式,我们已经获取到我们想要的数据了,但是数据类型有些不对,比如upstream_time发送到es是String格式,我们需要转换为float。

这里需要使用到filter中的date和mutate插件,最终的config配置文件如下:

input {
  file {
        path => "/data0/log_receiver/nginx/access.log"
  }
}
filter {
  grok {
        match => { "message" => "%{COMBINEDAPACHELOG} %{QS:http_x_forwarded_for} %{NUMBER:upstream_time}"}
  }
  mutate {convert => ["upstream_time", "float"]}
}
output {
  elasticsearch {
    hosts => "logview-es.yunshanpp.com:80"
    index => "xinghuo-nginx-%{+YYYY.MM.dd}"
  }
}

ELK日志系统开发,Kibana简单实用Discover(三)

 

loophome
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
运维之道 | ELK 通过 Logstash 收集 Nginx 日志
VillianTsang 、运维之道
01-22 407
ELK 通过 Logstash 收集 Nginx 日志 1、安装部署Nginx 运维之道 | 企业级Nginx环境搭建 2、将nginx日志转换成json格式 [root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf http { include mime.types; default_type applica...
ELK日志收集系统完全实现
01-27
ELKElasticsearch, Logstash, Kibana日志收集系统是一种广泛使用的日志管理和分析解决方案。它能够高效地收集、解析、存储和展示应用程序及系统日志数据,帮助运维人员监控系统状态,排查问题,进行数据分析。...
ELK(6):ELK-logstash收集Nginx日志
weixin_30455661的博客
07-16 120
ELK(6):ELK-logstash收集Nginx日志 暂时先用logstash收集,后面才改用filebeat,别着急 我的Nginxlogstash装一台机器的 将Nginx日志转成json nginx.conf 日志模块修改为: log_format logstash_json '{"@timestamp":"$time_iso8601",' ...
2024年软件测试最新ubuntu搭建日志分析工具ELK收集Nginx日志_ubuntu22安装elk,学习路线+知识点梳理
最新发布
2401_84731999的博客
05-09 394
KaTeX parse error: Expected 'EOF', got '#' at position 22: …KaTeX parse error: Expected 'EOF', got '#' at position 22: …KaTeX parse error: Expected 'EOF', got '#' at position 12: request", '#̲记录请求的URL和HTTP协议…http_x_forwarded_for”, '#记录客户端IP地址。
ELK实践(nginx日志分析
wfs
07-06 1148
一、了解数据及建模 在生产环境中,nginx日志格式往往使用的是自定义的格式,我们需要把logstash中的message结构化后再存储,方便kibana的搜索和统计,因此需要对message进行解析。 logstash中默认存在一部分正则让我们来使用,可以在$logstash/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1....
ELK收集NGINX日志
爱吃鱼的小明的博客
04-05 428
server 192.168.88.8(elasticsearch logstash) server 192.168.88.17 (kibana httpd-tools) 可视化图 常用命令参考 nginx(192.168.88.8) yum -y install epel-release yum -y install nginx 正则 cd /usr/share/logstash/vendor/...
基于elk 实现nginx日志收集与数据分析。
weixin_30416497的博客
05-14 275
一。背景 前端web服务器为nginx,采用filebeat + logstash + elasticsearch + granfa 进行数据采集与展示,对客户端ip进行地域统计,监控服务器响应时间等。 。业务整体架构: nginx日志落地——》filebear——》logstash——》elasticsearch——》grafna(展示) 三。先上个效果图...
详解用ELK来分析Nginx服务器日志的方法
09-30
主要介绍了用ELK来分析Nginx服务器日志的方法,ELK是三个开源软件的缩写,分别表示Elasticsearch,Logstash,Kibana,需要的朋友可以参考下
ELK日志系统实施方案.docx
04-17
ELK日志系统,由ElasticsearchLogstash(在本方案中替换为Filebeat)、Kibana三个组件组成,是目前广泛应用的日志管理和分析解决方案。本文将详述如何实施一个基于ElasticsearchKibana和Filebeat的轻量级日志...
linux平台centos7系统 - ELK+logback+kafka+nginx 搭建分布式日志分析平台.doc
03-23
【Linux平台CentOS7系统 - ELK+logback+kafka+nginx搭建分布式日志分析平台】 在复杂的IT环境中,日志管理和分析对于诊断问题、优化性能以及确保系统稳定性至关重要。ELK栈(ElasticsearchLogstashKibana)正是...
ELK --- Grok正则过滤Linux系统登录日志
weixin_34309543的博客
03-22 553
过滤Linux系统登录日志/var/log/secure 登陆成功 Jan 6 17:11:47 localhost sshd[3324]: Received disconnect from 172.16.0.13: 11: disconnected by user Jan 6 17:11:47 localhost sshd[3324]: pam_unix(sshd:session): ses...
ELK 过滤插件grok对nginx日志格式化
小楼一夜听春雨,深巷明朝卖杏花
01-06 871
默认nginx的访问日志是没有格式的,日志格式如下 log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; 访问日志格式如下:要想结构化处理,..
Logstash中的Grok正则捕获
Ghost Stories
02-08 4061
概述 Grok 是 Logstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式 Grok 支持把预定义的 grok 表达式 写入到文件中,官方提供的预定义 grok 表达式见:https://github.com/logstash-plugins/logstash-patterns-core/tree/master/patterns。 grok的语法格式为 %{...
Elasticsearch系列组件:Logstash强大的日志管理和数据分析工具
栗筝i的博客
10-17 3220
Logstash 是一个开源的数据收集引擎,它具有实时管道功能,可以用来统一处理来自不同源的数据,并将其发送到你选择的目标。Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等,可以对数据进行各种转换和处理,然后将数据发送到各种目标,如 Elasticsearch、Kafka、邮件通知等。Logstash 的主要特点包括:多输入源:Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等。
ELK日志处理之使用Grok解析日志
热门推荐
1.02^365=1377.41
03-17 2万+
介绍如何在logstash中使用Grok和正则表达式解析任意格式日志,以及Grok Debugger的使用。
ELK kibana查询与画图
运维打怪晋级之路
04-07 2164
1、创建查询 在Discover界面的搜索栏输入要查询的字段。查询语法是基于Lucene的查询语法。允许布尔运算符、通配符和字段筛选。注意关键字要大写,搜索框 suosurl:5yb4Qr and visitip:144.91.124.25 。 2、字符串查询 查询可以包含一个或多个字或者短语。短语需要使用双引号引起来。如: 3、正则表达式查询 允许一个字段值在某个区间。[] 包含该值,{}不...
logstash之grok过滤
yanggd1987的专栏
01-11 2万+
简介  前面我们的nginx日志编码使用的json,logstash直接输入预定义好的 JSON 数据,这样就可以省略掉 filter/grok 配置,但是在我们的生产环境中,日志格式往往使用的是普通的格式,因此就不得不使用logstash的filter/grok进行过滤,下面我们就来讲下如何配置。配置1.nginx日志格式 为了帮助我们有效的理解grok的正则表达式,因此在这我们将日志格式定义的
Nginx正则表达式、location、rewrite
A1100886的博客
06-05 1124
(location =完整路径) > (location ^~路径) > (location ~,~*正则顺序) > (location 部分起始路径) > (location /)location 匹配 :首先看 优先级:精确>前缀>正则>一般>通用优先级相同:正则看上下顺序,上面的优先;一般匹配看长度,最长匹配的优先 精确、前缀、正则、一般都没有匹配到。最后再看通用匹配第一个必选规则直接匹配网站根,通过域名访问网站首页比较频繁,使用这个会加速处理,比如说官网。
使用Logstash的grok过滤日志文件
weixin_33898876的博客
04-10 281
可以使用Logstash的grok模块对任意文本解析并结构化输出。Logstash默认带有120中匹配模式。可以参见源代码logstash/patterns/grok-patternslogstash/lib/logstash/filters/grok.rbgrok的语法格式为%{SYNTAX:SEMANTIC}SYNTAX是文本要匹配的模式,例如3.14匹配 NUMBER...
"Docker搭建ELK6.7.1集群收集Nginx JSON日志
为了搜集nginx-json日志,我们可以通过docker安装ELK6.7.1。首先需要规划好各个组件的IP地址:192.168.171.130用于nginx和filebeat、192.168.171.131也用于nginx和filebeat、192.168.171.128用于redis、192.168.171....
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值