使用logstash6 的 grok 插件分析IIS日志,并创建Kibana6图形化看板

最新推荐文章于 2024-05-11 10:33:15 发布
最新推荐文章于 2024-05-11 10:33:15 发布
阅读量2.1k 收藏 3
点赞数 1
分类专栏: kibana logstash Elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vip100549/article/details/79677464
版权

1.添加filter grok plugin 处理IIS 日志

logstash能成功收集IIS日志后,根据日志的格式,再次编辑前端logstash 的shipper.conf 文件,添加filter。
日志的格式为默认的IIS日志:

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-taken
2018-03-24 01:00:15 xx.xx.xxx.xxx HEAD / - 80 182.92.69.212 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+Win64;+x64;+Trident/5.0) 200 0 0 169
2018-03-24 01:00:20 xx.xx.xx.xxx HEAD /download/index - 80 115.28.203.70 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+Win64;+x64;+Trident/5.0) 200 0 0 102

根据格式,对应编辑 grok 中的规则 ,另外这边也加入了geoip的插件,让我们可以在KIBANA中获取到客户端IP的地理位置信息,用的都是默认的数据库

grok plugin 介绍
geoip plugin 介绍
date 插件介绍

filter{
    if "iislog2" in [tags]{   #匹配对应filebeat配置文件 filebeat.yml 的tags配置
        grok {
        match => ["message", "%{TIMESTAMP_ISO8601:log_timestamp} (%{IPORHOST:s-ip}|-) (%{WORD:cs-method}|-) %{NOTSPACE:cs-uri-stem} %{NOTSPACE:cs-uri-query} (%{NUMBER:s-port}|-) (%{IPORHOST:c-ip}|-) %{NOTSPACE:cs-useragent} (%{NUMBER:sc-status}|-) (%{NUMBER:sc-substatus}|-) (%{NUMBER:sc-win32-status}|-) (%{NUMBER:time-taken}|-)"]
        }
        date {    #修改@timestamp的时间为当前时区,如果你觉得使用UTC时间来做日志的操作没问题,查询,可以去掉这个date的配置
            match => [ "log_timestamp", "YYYY-MM-dd HH:mm:ss" ]
            timezone => "+00:00" #因为kibana显示日志的时候,会加上当前浏览器时区的时差,所以这边只需要+0000 就可以
        }
        geoip {
            source => "c-ip"      ##过滤内容来源
            target => "geoip"     ##属性设定值
        }

    }
}

2.修改后端logstash的indexer 配置

根据 前文 的配置,从redis读取数据,输出到elasticsearch 的时候,所用的索引名称是 iislog2-%{+YYYY.MM.dd}" ,这样的配置会造成一个问题,就是当我们创建kibana 的坐标图
coordinate map 的时候
这里写图片描述
会报一个错误:

No Compatible Fields: The “xxx-xxx*” index pattern does not contain any of the following field types: geo_point

kibana找不到一个类型是geo_point 的字段,所以没办法去创建这个坐标图,但是我们的确是使用了geoip插件,加入了对应地址位置的字段的,但是类型不对。
这里要说明一下elasticsearch的模板,由于我们创建索引的时候,名称是 iislog2-%{+YYYY.MM.dd} 并没有应用elasticsearch的模板,geoip插件创建的geoip.location字段的类型不是geo_point,所以生成坐标图的时候,kibana找不到我们的type 是geo_point 的字段,会创建失败。
如下图,我们创建索引的时候必须是 logstash-*,当然我们也可以添加模板,自定义哪些索引应用模板 。
ps:改变一个模板将不会影响在已经存在的索引上。
es的默认模板设置

这样我们的geo_ip.location的type就是geo_point 了,在创建kibana的坐标图的时候不会因为找不到type是geo_point的字段而报错
这里写图片描述
后端lostash indexer.conf配置修改,调整index的名称为logstash-开头

output{
    if [type] == "iislog2" {      #写入system 日志到 es
         elasticsearch{
          hosts => ["172.16.1.176:9200"]
          index => "logstash-iislog2-%{+YYYY.MM.dd}"  #使用system+ 日期,这个格式的索引
        }
    }
}

启动前端以及后端的logstash

3.验证日志

启动ELK ,grok 帮我们分拆好字段,同样geoip插件帮我们创建了地理位置的一些字段

这里写图片描述

4.创建Kibana看板

打开kibana ,点击Visualize 创建新的坐标地图,选择lostash-iis* 日志

这里写图片描述
选择使用geoip.location字段生成
这里写图片描述
点击上方保存后,可以将图形添加到Dashboard 看板中
这里写图片描述

bugli-z
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
关于Logstashgrok插件的正则表达式例子
jinjin603的博客
06-04 408
logstash filter gork match中的正则匹配,不是随便自己写的,需要按照一定的格式匹配。 具体字段可以参考 https://www.cnblogs.com/stozen/p/5638369.html
日志分析logstash插件-grok详解
weixin_34314962的博客
07-20 439
一般系统或服务生成的日志都是一大长串。每个字段之间用空格隔开。logstash在获取日志是整个一串获取,如果把日志中每个字段代表的意思分割开来在传给elasticsearch。这样呈现出来的数据更加清晰,而且也能让kibana更方便的绘制图形。 GrokLogstash 最重要的插件。它的主要作用就是将文本格式的字符串,转换成为具体的结构化的数据,配合正则...
kibana可视化:利用kibana创建数据看板
最新发布
qq_33240556的博客
05-11 324
Kibana创建数据看板(Dashboard)是一种直观展示和分析Elasticsearch中存储数据的方式,尤其是对于分布式微服务日志监控而言,数据看板能帮助快速识别系统中的模式、趋势和潜在问题。
Logstashgrok插件
weixin_40108561的博客
05-28 162
语法:http://doc.yonyoucloud.com/doc/logstash-best-practice-cn/filter/grok.html 文本: NOTICE: 2021-04-28 12:44:44 /root/gopath/pkg/mod/icode.baidu.com/baidu/gdp/gdp@v1.1.1-0.20190530102336-689961a086a1/weblogware.go:43 logid[4290488817] err[0] api[game_page..
Echarts数据看板.zip
07-11
使用echarts.js实现酷炫的数据看板页面html5模板。各阶段平均数据统计,人员信息,年季月数据统计图等统计图表页面模块。
ELK+docker+nginx日志分析系统
ZHANG_H_A的博客
04-14 3109
一、简介 1、核心组成 ELK由Elasticsearch、LogstashKibana三部分组件组成; Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash是一个完全开源的工具,它可以对你的日志进行收集、分析,并将其存储供以后使用 k
ELK(ElasticSearch,Logstash,Kibana)搭建实时日志分析平台
01-29
经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉
logstash-grok-patterns:我的 logstash grok 模式
06-22
logstash-grok-模式 这个存储库包含我的 logstash 配置和 grok 模式。 这是一项正在进行的... 然后使用各种模式根据系统日志中的“程序”字段解析消息。 任何未解析的内容都将带有标签“syslog_message_unparsed”。
Kibanalogstash快速搭建实时日志查询、收集与分析系统
02-25
Logstash是一个完全开源的工具,他可以对你的日志进行收集、分析,并将其存储供以后使用(如,搜索),您可以使用它。说到搜索,logstash带有一个web界面,搜索和展示所有日志kibana也是一个开源和免费的工具,他...
Kibana:在 Kibana 中定制 Regional Map
Elastic 中国社区官方博客
03-18 2964
细心的开发者发现在Kibana中已经移除了Regional Map 的可视化,取而代之是使用Map 可视化。它也可以实现同样的功能。在有些情况中,我们需要定制自己的Regioanl Map,这里可能是由于我们需要更加精确的地图,或者是纠正有些地图的错误。那么我们该如何定制我们需要的Regional Map呢? 在开始我们的讲解之前,我们先来了解几个概念: geojson:一个json文件,其中...
SpringCloud Alibaba——3. Nacos服务配置中心
武汉小喽啰
12-11 227
Nacos可以替代Config做服务的配置中心 1.
读取 IIS日志 到 数据库
cjh200102的专栏
09-27 1327
public bool WriteToDB(string file) { StreamReader myRead = new StreamReader(file); DataTable myTable = new D
.net将日志提交给logstash
左直拳的马桶_日用桶
01-25 1345
基本上,每个系统都有日志输出这一功能。不管采用什么成熟框架,或者自己开发吧,大多是保存到数据库,或者输出到文件,然后对这些数据进行分析、展示。 这种思路,主体还是各人自扫门前雪,每个系统自己负责日志的输出、存储、应用。 现在微服务时代,日志也可以独立划分出去,对外提供服务。比如下面介绍的这个logstashlogstash,从名字看,是日志存储器之意。实际上,我觉得它叫日志收集器更合适。它提供多种方式对应用程序进行日志收集,比如日志文件,http,tcp;然后收集到的日志,可以存储到数据库里,比如ES(
logstash 抓取IIS日志文件写入Elasticsearch
weixin_30318645的博客
07-24 208
如果需要对IIS日志进行分析可以使用logstash从文件中抓取出来进行分析; 输入部分: input { file { type => "iis_log_monitor" path => ["D:/k/iislog/monitor*/W3SVC4/*.log"] start_position => "beg...
Logstash使用grok解析IIS日志
mvpboss1004的博客
02-10 8689
Logstash使用grok解析IIS日志 1. 安装配置 安装Logstash前请确认Elasticsearch已经安装正确,参见RedHat6.4安装Elasticsearch5.2.0。 下载链接为:logstash-5.2.0.rpm。 下载完成后,rpm -i logstash-5.2.0.rpm即可安装。 Logstash默认的配置文件位置为./config和/etc/log
logstash 收集 IIS 日志实践
weixin_30788619的博客
06-01 176
IIS日志示例: 2017-02-20 00:55:40 127.0.0.1 GET /MkWebAPI/swagger/ui/index - 80 - 127.0.0.1 Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/49.0.2623.75+Safari/537.36 200 ...
ELK IIS 日志-->logstash-->ElasticSearch
weixin_30463341的博客
03-28 116
NXLOG 配置 #define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\...
使用filebeat简单收集多个nginx应用服务器日志(一)
江晓龙的博客
05-25 2574
使用filebeat简单收集日志 1.filebeat原理与介绍 filebeat收集日志的原理类似于tail -f命令,等待应用日志产生后,每隔30s将日志进行收集,收集完成后存放在es的索引库中,最后展示在kibana上 当filebeat关闭后,nginx继续产生日志,filebeat再次开启时不会将原来没有收集到的日志重新收集,而是收集目前最新的日志,当日志索引库被删除后,filebeat重启之后,es上没有生产新的日志索引库的原因只有是nginx没有产生日志,filebeat没有收集到,所有不会产
logstash config filter 配置(grok、date、ruby):日志拆分转换并展示在kibana
baidu_41614347的博客
10-27 1496
概要:ELK部署成功后,需要kibana图形展示某应用的性能。初步通过统计分析日志的形式来模拟。日志中有sendTime :消息发出时间,recvTime:处理完毕后打印的日志时间。通过logstash日志进行拆分并计算recvTime和sendTime的差值即处理时间(本文标记为responseTime)。并将responseTime展示在kibana中 1、logstash配置文件 logstash的配置文件input是来自filebeat端口5044 (filebeat用于收集ou...
使用logstash+grok提取里面的所有ip和端口
05-24
可以使用logstash+grok来提取日志里的IP和端口信息。 首先,需要在logstash的配置文件中设置input和output,以及filter过滤器。 input可以是从文件读取,也可以是从网络接收。例如: ``` input { file { path =...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值