使用ELK收集解析nginx日志和kibana可视化仪表盘

已于 2023-09-06 10:51:53 修改
阅读量1.5k 收藏 1
点赞数
分类专栏: Elasticsearch 运维 文章标签: elk elasticsearch 大数据 nginx 运维开发
于 2023-08-31 16:07:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rxbook/article/details/132579041
版权

文章目录

ELK生产环境配置

ELK收集nginx日志有多种方案,一般比较常见的做法是在生产环境服务器搭建filebeat 收集nginx的文件日志并写入到队列(kafka/redis),然后在另一台机器上消费队列中的日志数据并流转到logstash中进行解析处理,然后再输出到elasticsearch中,再由kibana展示到页面上。

虽然logstash也能直接收集日志,但因为filebeat比logstash更轻量级,不会耗费太多系统资源,因此适合在生产环境机器上部署filebeat

方案一:使用消息队列中间件

  • 生产环境机器:filebeat ---> redis
  • 日志处理机器:redis ---> logstash ---> elasticsearch ---> kibana

filebeat 配置

# vim filebeat-5.6.9/filebeat.yml

filebeat.inputs: #用于定义数据原型
- type: log #指定数据的输入类型,这里是log,即日志,是默认值,还可以指定为stdin,即标准输入
  enabled: true #启用手工配置filebeat,而不是采用模块方式配置filebeat
  paths: #用于指定要监控的日志文件,可以指定一个完整路径的文件,也可以是一个模糊匹配格式,如 nginx_*.log
    - /usr/local/nginx/logs/access.log
  # tags: ["access"]
  fields:
    app: www #表示www项目
    type: nginx-access #通过type区分哪种日志,这里表示是nginx的access日志
  fields_under_root: true

- type: log
  paths:
    - /usr/local/nginx/logs/error.log
  # tags: ["error"]
  fields:
    app: wap #表示wap项目
    type: nginx-error #通过type区分哪种日志,这里表示是nginx的error日志
  fields_under_root: true

name: "172.16.213.157" #设置filebeat收集的日志中对应主机的名字,如果配置为空,则使用该服务器的主机名。这里设置为IP,便于区分多台主机的日志信息。

output.redis: #输出到redis的配置
  enabled: true #表明这个模块是否启用
  hosts: ["192.168.0.1"]
  port: 6379
  password: "123456"
  key: "filebeat"
  db: 5
  datatype: list

output.kafka: #输出到kafka的配置
  enabled: false #表明这个模块是否启用
  hosts: ["172.16.213.51:9092", "172.16.213.75:9092", "172.16.213.109:9092"] #指定输出数据到kafka集群上,地址为kafka集群IP加端口号。
  version: "0.10"
  topic: '%{[fields][log_topic]}' #指定要发送数据给kafka集群的哪个topic,若指定的topic不存在,则会自动创建此topic。
  partition.round_robin:
    reachable_only: true
  worker: 2
  required_acks: 1
  compression: gzip
  max_message_bytes: 10000000
logging.level: debug #定义filebeat的日志输出级别,有critical、error、warning、info、debug五种级别可选,在调试的时候可选择debug模式。

启动filebeat并且不输出内容
nohup ./filebeat -e -c filebeat.yml >/dev/null 2>&1 &

查看redis数据

redis-cli -h 192.168.0.1 -p 6379 -a 123456

192.168.0.1:6379[5]> llen filebeat
(integer) 101

192.168.0.1:6379[5]> lrange filebeat 0 0
1) "{\"@timestamp\":\"2023-08-30T06:21:56.896Z\",\"beat\":{\"hostname\":\"yourhost\",\"name\":\"yourhost\",\"version\":\"5.6.9\"},\"input_type\":\"log\",\"message\":\"{\\\"@timestamp\\\": \\\"2023-08-30T14:21:55+08:00\\\", \\\"remote_addr\\\": \\\"222.128.101.33\\\", \\\"remote_user\\\": \\\"-\\\", \\\"body_bytes_sent\\\": \\\"8637\\\", \\\"request_time\\\": \\\"2.554\\\", \\\"status\\\": \\\"200\\\", \\\"request_uri\\\": \\\"/user/info\\\", \\\"request_method\\\": \\\"POST\\\", \\\"http_referrer\\\": \\\"https://www.test.com/\\\", \\\"http_x_forwarded_for\\\": \\\"-\\\"}\",\"offset\":35407874,\"source\":\"/usr/local/nginx/logs/access.log\",\"type\":\"log\"}"

logstash 配置

下面是一个logstash从redis中读取日志数据并解析输出到ES的完整配置:

# vim logstash-7.17.12/config/logstash-from-redis-to-es.conf

input {
    redis {
        host => "192.168.0.1"
        port => 6379
        password => "123456"
        db => "5"
        data_type => "list"
        key => "filebeat"
    }
}

filter {
  if [app] == "www" { #如果是www项目(下面还可以再写else if ... ),对应上面filebeat配置信息的fields.app
    if [type] == "nginx-access" { #如果是nginx的access日志,对应上面filebeat配置信息的fields.type
      json { #解析json模块
          source => "message" #将message中的每个字段解析到一级节点
          remove_field => ["message","beat"] #经过上面source解析后,移除原本的message字段,避免日志内容冗余;beat字段也没啥用,所以也移除。
      }
      geoip { #根据ip地址解析 国家和城市 信息
          source => "remote_addr" #根据nginx日志的remote_addr字段解析
          target => "geoip" #解析后的结果放到这个字段中
          database => "/home/es/soft/GeoLite2-City.mmdb" #解析位置信息的数据库文件所在路径
          add_field => ["[geoip][coordinates]", "%{[geoip][longitude]}"] #添加字段:经纬度信息
          add_field => ["[geoip][coordinates]", "%{[geoip][latitude]}"]
      }
      mutate { #修改某个字段的数据,比如类型转换
          convert => ["[geoip][coordinates]", "float"]  
      }
    }
  }
}

output {
  elasticsearch {
      hosts  => ["http://192.168.0.212:9200","http://192.168.0.213:9200","http://192.168.0.214:9200"]
      index  => "logstash-%{type}-%{+YYYY.MM.dd}" #这里的 %{type} 是 filebeat配置信息的fields.type 对应的值
      user => "elastic" #ES账号
      password => "123456" #ES密码
  }
}

GeoLite2-City.mmdb 下载地址:https://download.csdn.net/download/rxbook/88274725

启动logstash:nohup ./bin/logstash -f ./config/logstash-from-redis-to-es.conf >/dev/null 2>&1 &

查看kibana收集到的数据:
在这里插入图片描述
在这里插入图片描述

方案二:不使用消息队列中间件

如果日志数据并发量不高,可以省去消息队列中间件,直接从生产环境的 filebeat 传输数据到 日志机器的 logstash

  • 生产环境机器:filebeat ---> 输出到日志机器的logstash
  • 日志处理机器:logstash接收数据 ---> elasticsearch ---> kibana

先配置日志机器的logstash

// vim config/logstash-from-filebeat-to-es.conf
input {
  beats {
    port => 5044
  }
}

filter {
  json {
    source => "message"
    remove_field => ["message","beat"]
  }
}

output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "yourproject-prod-log-%{+YYYY.MM.dd}"
    user => "elastic"
    password => "your_password"
  }
}

配置好之后启动logstash,并测试端口是否启动:

#启动logstash
nohup ./bin/logstash -f ./config/logstash-from-filebeat-to-es.conf >/dev/null 2>&1 &

#查看端口是否启动
telnet 127.0.0.1 5044
netstat -ltnp | grep :5044

然后在阿里云上开放5044端口,以及防火墙设置。为了安全起见,建议只开放给生产环境机器的IP。

再配置生产环境的filebeat

# vim filebeat.yml
filebeat.prospectors:
- input_type: log
  paths:
    - /usr/local/nginx/logs/access.log

output.logstash:
  hosts: ["192.1.1.1:5044"] #192.1.1.1 改成你的日志机器的IP

启动filebeat:

# 检测端口可用性
telnet 192.1.1.1 5044

# 启动filebeat
nohup ./filebeat -e -c filebeat.yml >/dev/null 2>&1 &

kibana仪表盘配置

kibana dashboard 是一个统计数据展示面板,可以通过不同的维度进行统计和展示。
我这里用kibana7.17.12版本演示,不同版本的kibana界面可能不一样。进入kibana --> Visualize Library --> Create new visualization --> Lens

按时间维度统计请求数量:
在这里插入图片描述

按HTTP code统计请求数量:
在这里插入图片描述
统计所有请求总数:
在这里插入图片描述

统计访问次数最多的url:
在这里插入图片描述
最终效果:
在这里插入图片描述

配置nginx转发ES和kibana

如果需要使用80端口访问ES或kibana页面,可以在nginx中配置代理转发9200或5601端口,配置如下:

server {
    listen  80;
    server_name     es.xxxx.com;
    location / {
        proxy_pass      http://127.0.0.1:9200;
    }
}

server {
    listen  80;
    server_name     kibana.xxxx.com;
    location / {
        proxy_pass      http://127.0.0.1:5601;
    }
}

上面配置后就可以直接通过域名来访问kibana的页面(需要添加hosts)。

ELK设置账号和密码

修改ES的配置文件vi config/elasticsearch.yml 添加如下内容

http.cors.enabled: true
http.cors.allow-origin: "*"
http.cors.allow-headers: Authorization
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true

保存后重启ES,然后执行:./bin/elasticsearch-setup-passwords interactive,需要设置以下六种账户的密码elastic、apm_system、kibana、logstash_system、beats_system、remote_monitoring_user
输入y开始设置,六种密码设置完成后,需要再次重启ES。
在这里插入图片描述
然后打开ES的页面,账号:elastic,密码就是你刚才设置的密码。
在这里插入图片描述
设置kibana的密码,vi config/kibana.yml,添加:

elasticsearch.username: "elastic"
elasticsearch.password: "你在es中设置的密码"

然后重新启动kibana,再次访问,需要输入账号和密码。
在这里插入图片描述

浮尘笔记
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CentOS 7.2下ELK分析Nginx日志生产实战(高清多图)
qq_40907977的博客
11-11 901
注:本文系原创投稿 本文以api.mingongge.com.cn域名为测试对象进行统计,日志为crm.mingongge.com.cn和risk.mingongge.com.cn请求之和(此二者域名不具生产换环境统计意义),生产环境请根据具体需要统计的域名进行统计。 由于涉及生产线上服务器,故本文部分服务器IP做了打码处理。 一、服务介绍 1.1、ELK ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat
详解用ELK来分析Nginx服务器日志的方法
09-30
主要介绍了用ELK来分析Nginx服务器日志的方法,ELK是三个开源软件的缩写,分别表示Elasticsearch,Logstash,Kibana,需要的朋友可以参考下
Kibana添加Nginx Dashboard可视化
qq_44930876的博客
01-16 1118
Kibana添加Nginx Dashboard可视化
Kibana:如何嵌入 Kibana 仪表板
Elastic 中国社区官方博客
02-16 1018
本文中介绍的两个示例都使用 iframe 来嵌入我们的仪表板。iframe(由 HTML 标记表示)允许你在当前文档中嵌入另一个网页。具体来说,我们将从 Sample flight data 样本数据集中加载的包含到我们页面中。在应用程序中嵌入其他源时,确保这是用户应该有权访问的可信数据源非常重要。我们必须利用适当的内容安全策略、使用沙箱属性的限制以及限制嵌入内容的操作的权利。通过不在 iframe 中指定沙箱属性,我们默认包含所有限制。
使用 ELK 收集日志
码农UP2U
09-15 4009
在这种情况下,ELK 为我们提供了统一的日志管理解决方案,它能很好的支持 Logback 等日志框架,使得我们可以集中的管理不同应用输出的日志信息。创建完成后,返回 Kibana 的首页,选择 Discover 选项,切换到我们新建的 logstash-* 选项下,然后选择时间段,就可以看到相应的日志信息了。在上图中应用日志框架直接将日志发送给 Logstash,然后 Logstash 将接收的日志写入 ElasticSearch 中,开发人员通过可视化Kibana 可以进行日志的查询和分析。
ELK搭建(十三):搭建Nginx资源访问率、丢包率、读写率等运行性能监控平台
55555的博客
07-02 1053
Nginx是一款轻量级、高性能的流量分发和反向代理的web服务。随着市场业务量的增加,普通的web容器,如tomcat的并发量已经远不能满足我们的业务量,同时随着分布式架构的普及,我们需要一款反向代理服务的支持,于是Nginx应运而生。Nginx已经在大多数业务中普遍使用,因此针对Nginx的性能监控十分必要,这样我们才能实时掌握服务器请求情况和运行效率所以今天,我们的目标就是搭建一个Nginx运行性能监控平台我们的平台是基于elasticsearch+kibana来实现的,也就是我们常说的ELK体系。我们
ELK 收集 Nginx 日志
王清欢的博客
03-13 1万+
01 安装 Nginx 和 ab 工具 1.1 安装nginx sudo apt-get install nginx -y # 安装Nginx sudo apt-get install apache2-utils -y # Ubuntu安装ab工具 sudo yum -y install httpd-tools 0y # CentOS安装ab工具 在线安装完成后,Nginx主要文件目录构成如下 /etc/nginx # 配置文件 /etc/nginx/sites-available # 虚拟主机 /u
ELK部署-实现Nginx日志收集
热门推荐
秦子腾
04-18 2万+
logstash需要部署到所有需要收集日志的服务器上面,所以说使用docker方式部署会有一定的局限性,所以这里采用tar包部署。根据索引筛选过滤信息 如:Nginx xxx -xxxx 时间段访问记录。3、编写logstash配置文件 收集Nginx日志信息。如果可以正常输出Nginx日志到终端 表示配置没问题。收集Nginx日志到终端 测试是否可以正常输出内容。@timestamp:标记时间发生的时间。根据需求选择创建 饼状体、数据图等。4、将Nginx日志输出到ES中。2、创建Nginx索引。
ELK日志收集系统简述
wuds_158的博客
06-09 2391
在每台服务器上部署logstash实例,对日志进行收集或处理后输出到elasticsearch、elasticsearc进行存储、索引,kibana关联索引,展示、分析数据,这种架构是常见的构架,缺点是在每台服务器上要部署logstash实例,而且还得依赖jdk,所以跑起来比较重,对资源消耗比较大,另外es是单个节点,存在单点故障,所以这种架构比较适合日志数据不大、机器少的场景.2、它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
日志分析和ELK监控
小郑
04-04 1204
Kiban是一个开源的可视化平台,可以为ElasticSearch集群的管理提供友好的Web界面,帮助汇总,分析和搜索重要的日志数据。文档路径: https://www.elastic.colguide/en/kibana/current/setup.html可以根据官方文档安装和配置kibana下载rpm软件包可以把wget去掉,直接在网页下载。
nginx日志分析,实时可视化工具goaccess
第九系艾文
07-13 2544
一款可以实时分析NGINX访问日志,并且支持可视化的软件
Logstash日志数据采集与ELK可视化分析实战
02-21
基于Logstash的日志数据采集和ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),具体内容包括: 01 Logstash的架构及运行流程 02 Logstash的数据采集案例(一) 03 Logstash的数据采集案例(二) 04...
使用ELK搭建日志集中分析平台实践
01-27
Elasticsearch+Logstash+KibanaELK)是一套开源的日志管理方案,分析网站的访问情况时我们...Logstash:负责日志收集,处理和储存Elasticsearch:负责日志检索和分析Kibana:负责日志可视化ELK(Elasticsearch+
基于ELKStack和SparkStreaming的日志处理平台设计
02-26
本文通过对ELKStack、Kafka、SparkStreaming整合方案的介绍描述了系统平台日志处理流程,希望对系统运维工程师、数据库工程师在实现数据平台集中式运维工作中有所帮助,读者还可以参考文章末尾给出的互联网公司在...
ELK日志系统的搭建
adminstate的博客
04-23 1066
ELK日志系统搭建
ELK技术介绍:背景、功能及应用场景全面解析
最新发布
weixin_54533548的博客
04-25 734
ELK是由Elasticsearch、Logstash和Kibana三个开源软件组成的日志管理解决方案,这一组合在近年来得到了广泛的关注和应用。ELK的出现,源于大数据和云计算技术的快速发展,以及对高效日志管理的迫切需求。随着企业信息化程度的提高,各类应用系统和服务器产生的日志数据量日益庞大,如何有效收集、处理、分析和利用这些日志数据,成为了企业和开发者面临的重要问题。传统的日志管理方式往往效率低下,无法满足实时性、可扩展性和易用性的需求。
ELK创建仪表盘
qq_42301955的博客
04-22 358
ELK创建仪表盘
ELK 日志分析系统(二)
fantuan_sss的博客
04-21 498
Filebeat是一款轻量级的日志收集工具,可以在非JAVA环境下运行。因此,Filebeat常被用在非JAVAf的服务器上用于替代Logstash,收集日志信息。实际上,Filebeat几乎可以起到与Logstash相同的作用,可以将数据转发到Logstash、Redis或者是Elasticsearch中进行直接处理。
ElasticSearch 入门学习
灰熊
04-23 804
ElasticsSearch 是一个分布式的实时文档存储,每个字段可以被索引与搜索也是一个分布式实时分析搜索引擎也是一个能胜任上百个服务节点的扩展,并支持 PB 级别的结构化或者非结构化数据。
elk nginx 正则
09-20
ELKElasticsearch, Logstash, Kibana)是一套用于日志管理和分析的开源软件栈。Nginx是一个高性能的Web服务器软件。在ELK中,我们可以使用正则表达式对Nginx日志进行解析和分析。 要在ELK使用正则表达式解析Nginx日志,可以按照以下步骤进行操作: 1. 配置Logstash:在Logstash的配置文件中,使用“grok”插件来定义一个正则表达式模式,用于匹配和解析Nginx日志的格式。例如,可以使用以下模式来解析常见的Nginx访问日志: ``` grok { match => { "message" => "%{IP:client} - %{USERNAME:user} \[%{HTTPDATE:timestamp}\] \"%{WORD:method} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:response} %{NUMBER:bytes} \"%{URI:referrer}\" \"%{DATA:agent}\"" } } ``` 2. 启动Logstash:启动Logstash,并将Nginx日志文件配置为输入源,将解析后的日志输出到Elasticsearch。 3. 使用Kibana进行可视化:通过Kibana可以直观地展示和分析已经解析Nginx日志数据。可以创建仪表板、图表和搜索查询等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

浮尘笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值