logstash处理nginx日志时,字段总是进不到ES里面,那就是你grok语句写错了!

最新推荐文章于 2023-10-17 08:00:00 发布
最新推荐文章于 2023-10-17 08:00:00 发布
阅读量680 收藏
点赞数
分类专栏: ELK 遇坑记录 文章标签: 运维 nginx elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012452555/article/details/107211766
版权

nginx的access日志,logstash在配ngrok的时候,最初用的是COMBINEDAPACHELOG,听说是写好的匹配nginx日志,就打算拿来直接用。

把logstash跑起来就发现,字段都没进es里去,message却是有的,仔细看tag标签有个提示:_grokparsefailure。哦,原来ngrok报错了。

 

想想也是。elastic家也没有责任必须匹配nginx那么准确,nginx升个级什么的,COMBINEDAPACHELOG也不能保证更新。

其实nginx默认的log_format还不含请求时间、请求域名。想弄完整的还是得自己写

 

nginx那边好配,关键是logstash的grok的match参数,要跟nginx的log_format匹配上。

网上的match参数一大堆,但是不管用哪个,除非运气极好一次跑成功,否则必须用grok debugger测试。

 

注意点:

1.空格(最难发现的)2.双引号(别忘了转义)3.类型要匹配


示范(可直接用):

nginx.conf

   log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
            '$status $body_bytes_sent "$http_referer" '
            '"$http_user_agent" $http_x_forwarded_for '
     '"$upstream_addr" "$upstream_status" "$upstream_response_time" "$request_time" "$http_host" $request_length';

nginx-logstash.conf

grok {

        match => {"message" => "%{IP:remote_addr} - %{USER:remote_user} \[%{HTTPDATE:time_local}\] \"%{WORD:method} %{URIPATHPARAM:request} %{DATA:http_version}\" %{NUMBER:status:int} %{NUMBER:body_bytes_sent:int} %{DATA:http_referer} %{QUOTEDSTRING:http_user_agent} %{DATA:http_x_forwarded_for} %{DATA:upstream_addr} %{DATA:upstream_status} \"%{NUMBER:upstream_response_time:float}\" \"%{NUMBER:request_time:float}\" %{DATA:http_host} %{NUMBER:request_length}"}
    }

476106017
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx增加request_time和upstream_response_time并修改filebeat模块录入到es
www.shuaibo.wang|王帅博
10-19 2万+
文章目录介绍先在nginx日志中添加这两个字段修改filebeat在es中删除管道 介绍 为了观察php-cgi处理间和nginx处理间,在nginx日志加入这两个字段,但是filebeat默认是不处理的,所以还需要通过对filebeat行修改,然后使其能录入到es中去 先在nginx日志中添加这两个字段日志起一个plus的名字 log_format plus '$remote_a...
ES Mapping无法拆分日志字段日志放入message字段问题解决
oMangGuoBuDing1的专栏
08-08 1550
logstash配置,之前映射添加后不不能拆分字段所有接受的日志文本都入到一个message字段中, 反复尝试了4天左右都找不到原因,我觉得字段拆分是mapping负责的,这个技术研究都有点绝望了。在网上搜索 我看到文章中出现 filter { json { source => "message" remove_field => [ "...
linux登录日志es,linux – 旧日志不会通过logstash导入ES
weixin_34419203的博客
05-01 154
当我启动logstash,旧日志不会导入ES.只有新的请求日志记录在ES中.现在我在doc中看到了这一点.即使我设置了start_position =>“开头”,也不会插入旧日志.这只发生在我在linux上运行logstash.如果我使用相同的配置运行它,则会导入旧日志.我甚至不需要在Windows上设置start_position =>“开始”.对此有何想法?解决方法:当您将输入...
关于logstash同步服务器日志的问题分析
qq_28121773的博客
01-07 572
一.问题描述 ​ 生产应用使用了两台服务器(后面叫服务器1、2),es和kibana搭建在另外一台服务器(后面叫服务器3)上,一共三台服务器。计划是将logstash搭建在es和kibana那一台上,集中管理。所以现在的问题是如何在服务器3上同步到服务器1、2的日志? 二.方法1 ​ 查阅资料发现,logstash也支持类似集群的方式。在一台机器上搭建server端,另外的搭成client端。将client的日志同步到server端即可。具体配置如下: ​ 服务端conf: input { tcp {
es 对已存在的index增加字段schema
祁东握力的博客
09-01 691
增加bring_product_category字段 PUT awemes/_mapping/origin { "origin": { "properties" : { "bring_product_category" : { "properties" : { "big" : { "type" : "keyword" },
基于logstash实现日志文件同步elasticsearch
01-19
本文就logstash同步日志ES做下详细解读。 1、目的: 将本地磁盘存储的日志文件同步(全量同步、实增量同步)到ES中。 2、源文件: [root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:...
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志间,日志的线程号
Nodejs Express 通过log4js写日志Logstash(ELK)
10-18
主要介绍了Nodejs Express 通过log4js写日志Logstash(ELK),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Docker日志自动化:ElasticSearchLogstash
01-30
本文主要介绍了如何使用ElasticSearchLogstash、Kibana和Logspout技术栈来部署自动化的日志系统。 You,too,couldLogstash.快速念五遍这个题目!不过说实话,我其实并不确定该给这篇文章起个什么样的名字才能确保...
关于logstash的坑,求解
goodstudy168的专栏
09-29 1246
这两天出现一个小事故,是logstash读取文件信息输出到kafka,因为topic没有创建,而导致所有的topic都没有数据。先将配置文件列出来。 input { file { path => "/data/xx/log/xsec_anti_cheat_d/xsec_anti_cheat_d.log" start_position => "end" sincedb...
ElasticSearch 新增表字段
热门推荐
yexiaojiu1的博客
03-16 3万+
1.新增表字段(Elasticsearch中的mapping一旦创建,就不容易再修改。但是添加字段是可以的)::PUT my_index/_mapping/my_type {   "properties": {     "new_column": {       "type":     "integer"     }   } }2.修改表字段的方法http://www.cnblogs.com/C...
使用logstash收集nginx访问日志
wang_quan_li的专栏
09-06 2084
首先安装logstash,这个非常简单,不赘述。建议把所有插件都安装上,省心。 然后要配置一下logstash for nginxlogstash基本原理:input => filter => output。在我们这里input就是nginx的access日志,output就是ElasticSearch。filter则是用来解析和过滤日志用。一般我们要把message结构化再存储,方便后面的搜
logstash处理解析失败的数据,不写入数据库或elasticsearch
weixin_43662454的博客
11-26 1999
filter { dissect{ mapping => { "message" => "%{clientip} - - [%{time_local}] %{request} %{url} " } } if "_dissectfailure" in [tags] { drop {} } } 使用dissect做解析匹配或者grok解析失败写入数据源,...
logstash收集nginx日志
白夜流歌的笔记簿
03-29 484
因为我的nginx日志是通过filebeat采集的,所以这里就借用大佬的文章,他的这两篇ELK的文章给了我很大帮助,以下是他的链接地址: https://blog.51cto.com/zero01/2082794 和收集syslog一样,首先需要编辑配置文件,这一步在logstash服务器上完成: [root@data-node1 ~]# vim /etc/logstash/conf.d/nginx.conf # 增加如下内容 input { file { # 指定一个文件作为输入源 pat
ELK日志系统开发,Logstash收集nginx日志(二)
zhibin的程序日记
08-29 1万+
一、Nginx日志例子 Nginx日志例子 nginx日志默认配置: log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http...
ELK日志分析--Logstash
qq_47800859的博客
02-23 257
Logstash简介 Logstash安装 测试运行 配置输入和输出 使用Geoip过滤器插件增强数据编辑 配置接收 Beats 的输入
【弄nèng - Logstash】入门篇(二)—— 使用Logstash解析Apache Web日志(使用Filebeat采集数据)
司马缸砸缸了
02-10 619
文章目录一. 简介二. 实现2.1 下载安装2.2 配置输入端Filebeat2.3 配置logstash2.3 使用Grok过滤器插件解析Web日志编辑2.4 使用Geoip过滤器插件增强数据编辑2.5 输出到es源码地址项目推荐 该系列博客是Logstash的学习应用,部分示例来自官方文档。 参考: 官方文档 使用Logstash解析日志 一. 简介 示例来自官网,在本部分中,您将创建一个...
Logstash中的Grok正则捕获
Ghost Stories
02-08 4052
概述 GrokLogstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式 Grok 支持把预定义的 grok 表达式 写入到文件中,官方提供的预定义 grok 表达式见:https://github.com/logstash-plugins/logstash-patterns-core/tree/master/patterns。 grok的语法格式为 %{...
Elasticsearch系列组件:Logstash强大的日志管理和数据分析工具
最新发布
栗筝i的博客
10-17 2531
Logstash 是一个开源的数据收集引擎,它具有实管道功能,可以用来统一处理来自不同源的数据,并将其发送到你选择的目标。Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等,可以对数据行各种转换和处理,然后将数据发送到各种目标,如 Elasticsearch、Kafka、邮件通知等。Logstash 的主要特点包括:多输入源:Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等。
logstash grok 解析Nginx
06-07
好的,我可以为您解析如何使用LogstashGrok插件来解析Nginx日志。首先,您需要安装LogstashGrok插件。然后,您需要编写一个Logstash配置文件,例如: ``` input { file { path => "/var/log/nginx/access.log...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值