Logstash收集nginx日志并grok进行文本过滤

最新推荐文章于 2024-05-15 11:03:04 发布
最新推荐文章于 2024-05-15 11:03:04 发布
阅读量4.9k 收藏 6
点赞数
分类专栏: ELKstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39626154/article/details/95057291
版权

简介

grok作为一个logstash的过滤插件,支持根据正则表达式解析文本日志行,拆成字段message结构化后再存储,方便kibana的搜索和统计。

nginx日志格式

.....

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;
}

[root@centos6 nginx]# cat /var/log/nginx/access.log 查看日志输出内容:

192.168.10.132 - - [08/Jul/2019:12:53:45 +0800] "GET /saudgsg/bujguj HTTP/1.0" 200 1201 "-" "ApacheBench/2.3" "-"
192.168.10.132 - - [08/Jul/2019:12:53:45 +0800] "GET /saudgsg/bujguj HTTP/1.0" 200 1201 "-" "ApacheBench/2.3" "-"
192.168.10.132 - - [08/Jul/2019:12:53:45 +0800] "GET /saudgsg/bujguj HTTP/1.0" 200 1201 "-" "ApacheBench/2.3" "-"
192.168.10.1 - - [08/Jul/2019:12:54:36 +0800] "GET /indexfsd HTTP/1.1" 200 1201 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KH
TML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "-"
192.168.10.1 - - [08/Jul/2019:12:54:36 +0800] "GET /favicon.ico HTTP/1.1" 200 1320 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "-"
192.168.10.1 - - [08/Jul/2019:12:54:36 +0800] "GET /favicon.ico HTTP/1.1" 200 1320 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "-"
192.168.10.1 - - [08/Jul/2019:12:54:36 +0800] "POST /bs/base/searchIndexImage.htm?v=1&device=10 HTTP/1.1" 502 575 "-" "Mozilla/5.0 (Windows NT 1
0.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "-"
192.168.10.1 - - [08/Jul/2019:12:54:36 +0800] "POST /bs/base/getArticleList.htm?v=1&device=10 HTTP/1.1" 502 575 "-" "Mozilla/5.0 (Windows NT 10.
0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "-"
192.168.10.1 - - [08/Jul/2019:12:54:36 +0800] "POST /bs/thirdparthy/getShareUrl.htm?t=1562561715347 HTTP/1.1" 502 575 "-" "Mozilla/5.0 (Windows
NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0" "-"

编写文本过滤器

logstash中默认存在一部分正则表达式来让我们套用,在如下的文件中我们可以看到:

/usr/local/logstash/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns

其中最基本的定义是在grok-patterns中,但是某些正则不适合我们的nginx字段,此时就需要我们来自定义,然后grok通过patterns_dir来调用即可。 这里截取部分的文本内容供参考文本写法:

我这里编写了一个符合这台nginx服务器的日志过滤器,如果正则表达式不太熟的同学可以看下正则表达式-语法

[root@centos6 patterns]# vim nginx-access 

NGINXACCESS %{IP:clientip} - (%{USERNAME:user}|-) \[%{HTTPDATE:timestamp}\] \"%{WORD:request_verb} %{NOTSPACE:request} HTTP/%{NUMBER:httpversion
}\" %{NUMBER:status:int} %{NUMBER:body_sent:int} \"-\" \"%{GREEDYDATA:agent}\" \"-\"

编写logstash配置文件

logstash基本格式 input >> codec >> filter >> codec >> output ,codec用于文字编码格式转换

[root@centos6 bin]# vim nginx_access.conf 
input {
    file {
        path => "/var/log/nginx/access.log"  #日志文件路径
    }
}

filter {
    grok {
        patterns_dir => "/usr/local/logstash/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns"  #模块文件路径
        match => { "message" => "%{NGINXACCESS}" }    #使用过滤的方法
        remove_field => "message"  #过滤后丢弃原有信息
    }
}

output {
    stdout {
        codec=>rubydebug   #屏幕输出调试
    }
}

 [root@centos6 bin]# ./logstash -f nginx_access.conf 启动logstash日志收集,并打开浏览器对nginx访问。输出内容如下:

左边为编写过滤器时自定义的文本名称和一些logstash自带参数,右边为日志文本过滤分段够的内容。

 

调式无误后对配置文件进一步修改,输出到elasticsearch:

草莓甜甜圈
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash+grok匹配nginx日志示例
心若有所向往,何惧道阻且长~
11-04 3998
Logstash内部定义(匹配正则): /usr/local/logstash/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns Nginx日志grok过滤示例: Nginx日志格式如下: log_format main '$remote_addr - - [$time_local] "$r...
logstash 过滤采集nginx日志
yjph83的专栏
09-18 1250
          在生产环境中,nginx日志格式往往使用的是自定义的格式,我们需要把logstash中的message结构化后再存储,方便kibana的搜索和统计,因此需要对message进行解析。   本文采用grok过滤器,使用match正则表达式解析,根据自己的log_format定制。 1、nginx日志格式   log_format配置如下: log_format ...
ELK 日志监控平台环境搭建及使用说明_elk日志监控平台
最新发布
2401_84765537的博客
05-15 480
解压之后,进入logstash目录,创建”conf”目录,编写配置文件。下面以收集分析nginx access 日志为例。配置文件分为三个部分:input,filter,output。三部分文件写,也可写一块此处的正则表达式要和nginx日志格式相对应,否则会匹配失败,无法将nginx日志离散取值。选项”-f”是logstahsh的配置文件,如果有多个配置文件,也可以是一个目录。%{NUMBER:status:int} 将status字段设为整型,
Logstash使用grok进行日志过滤
扎克begod的专栏
11-08 5818
转自:https://www.jianshu.com/p/49ae54a411b8 一、前言 Logstash是Elastic stack 中的一个开源组件,其不仅能够对日志进行抓取收集,还能对抓取的日志进行过滤输出。Logstash过滤插件有多种,如:grok、date、json、geoip等等。其中最为常用的为grok正则表达式过滤。 二、grok的匹配语法 grok的匹配语法分为两...
Logstash Grok过滤Nginx日志
qq_43164571的博客
03-30 1291
首先看一下没有过滤前的默认日志 修改Logstash过滤Nginx日志 filter { grok { match => { "message" => "%{IP:clientip} - (%{USERNAME:user}|-) \[%{HTTPDATE:timestamp}\] \"%{WORD:request_verb} %{NOTSPACE:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:status:int} %{NUMBER
logstash-将nginx日志转为json格式存入kafka
qq522044637的博客
03-04 744
不修改nginx日志格式的情况下,使用logstash filter-grok,匹配nginx日志格式后转为json格式存入kafka。
ELK logstash日志收集过滤
qq_39738963的博客
12-03 1165
logstash日志过滤收集测试
nginx日志导入elasticsearch的方法示例
09-29
在这个例子中,我们需要安装Logstash并创建一个处理Nginx日志的pipeline。这涉及到编辑配置文件,设置输入端口接收来自Filebeat的数据(5044),并定义过滤器来解析日志LogstashGrok过滤器是一种强大的工具,...
elk(都是6.2.4重点-版本2-收集nginx日志-无filebeat
07-09
Logstash 是数据收集、处理和转发的工具,它可以从多个源接收日志进行过滤、解析,然后发送到目的地,如 Elasticsearch。 - **系统准备**: - 在与 Elasticsearch 相同的机器上,或者在单独的服务器上安装 ...
关于nginx日志增加cookie信息
09-30
Nginx配置中添加Cookie信息到日志记录是一个实用的方法,可以帮助监控和分析用户行为。...记住,日志分析工具(如LogstashGrok、ELK Stack等)可以帮助进一步解析和可视化这些数据,从而提供更深入的洞察。
nginx正则表达式,logstash
12-10
nginx正则表达式,logstash用。grok是一种采用组合多个预定义的正则表达式,用来匹配分割文本并映射到关键字的工具。通常用来对日志数据进行预处理。
ELK6.8安装以及日志分析实战手册.docx
02-02
- **数据处理**:使用过滤器插件对数据进行清洗、解析和转换,例如 grok 模式匹配日志格式。 - **数据发送**:将处理后的数据发送到 Elasticsearch 进行索引和存储。 - **数据可视化**:在 Kibana 中创建仪表板,...
logstash filter 过滤器详解
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
Logstash filter 的使用
m0_56342013的博客
06-18 1124
Logstash filter 的使用
grok使用(将日志结构化)
ApexPredator的博客
07-05 2701
grok使用(将日志结构化)
logstashgrok过滤
热门推荐
yanggd1987的专栏
01-11 2万+
简介  前面我们的nginx日志编码使用的json,logstash直接输入预定义好的 JSON 数据,这样就可以省略掉 filter/grok 配置,但是在我们的生产环境中,日志格式往往使用的是普通的格式,因此就不得不使用logstash的filter/grok进行过滤,下面我们就来讲下如何配置。配置1.nginx日志格式 为了帮助我们有效的理解grok正则表达式,因此在这我们将日志格式定义的
logstashgrok插件自定义规则学习
最美dee时光的博客
12-10 473
1、前言 近期通过ELK(Elasticsearch, Logstash, Kibana)对Nginx产生的日志进行采集,但是在对nginx日志格式进行预处理的时候使用到了logstashgrok的插件,特意在此为大家分享下个人的学习总结。 2、Grok提供的常用Patterns说明及举例 要学习Grok的默认表达式,我们就要找到它的具体配置路径,路径如下: patterns路径 [logstash安装路径]/vendor/bundle/jruby/x.x.x/gems/logstash-pattern
logstash自定义匹配分析nginx日志
wzz_ccr的博客
05-24 3805
---------------------------------------------------filebeat配置---------------------------------------------------------------------- filebeat.prospectors: - input_type: log   paths:     - /mapbar/l
Logstash使用grok插件解析Nginx日志
weixin_33796205的博客
09-07 953
grok表达式的打印复制格式的完整语法是下面这样的: %{PATTERN_NAME:capture_name:data_type}data_type 目前只支持两个值:int 和 float。 在线gork正则的地址:http://grokdebug.herokuapp.com/ Logstash基础正则地址:https://github.com/elastic/logstash/blob/v...
logstash grok 解析Nginx
06-07
好的,我可以为您解析如何使用LogstashGrok插件来解析Nginx日志。首先,您需要安装LogstashGrok插件。然后,您需要编写一个Logstash配置文件,例如: ``` input { file { path => "/var/log/nginx/access.log...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值