filebeat 收集json格式_[问题已处理]-[elk]-filebeat收集json格式的nginx日志-Go语言中文社区...

最新推荐文章于 2024-04-10 03:31:02 发布
最新推荐文章于 2024-04-10 03:31:02 发布
阅读量250 收藏 1
点赞数
文章标签: filebeat 收集json格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29576039/article/details/112950602
版权

filebeat收集json格式的nginx日志

由于画蛇添足 用了下面的配置导致nginx的json日志一直显示在message里

log_format access_json '{ "@timestamp": "$time_local", '

'"remote_addr": "$remote_addr", '

'"referer": "$http_referer", '

'"request": "$request", '

'"status": $status, '

'"bytes": $body_bytes_sent, '

'"agent": "$http_user_agent", '

'"x_forwarded": "$http_x_forwarded_for", '

'"up_addr": "$upstream_addr",'

'"up_host": "$upstream_http_host",'

'"up_resp_time": "$upstream_response_time",'

'"request_time": "$request_time"'

'"remote_user ": "$remote_user "'

'"http_host ": "$http_host "'

'"upstream_status": "$upstream_status"'

'"http_referer": "$http_referer"'

'"ssl_protocol": "$ssl_protocol"'

'"ssl_cipher  ": "$ssl_cipher  "'

' }';

下面是nginx输出

导致filebeat报错

修改nginx.conf中https模块

log_format access_json '{ "@timestamp": "$time_iso8601", '

'"time": "$time_iso8601", '

'"remote_addr": "$remote_addr", '

'"remote_user": "$remote_user", '

'"body_bytes_sent": "$body_bytes_sent", '

'"request_time": "$request_time", '

'"status": "$status", '

'"host": "$host", '

'"request": "$request", '

'"request_method": "$request_method", '

'"uri": "$uri", '

'"http_referrer": "$http_referer", '

'"body_bytes_sent":"$body_bytes_sent", '

'"http_x_forwarded_for": "$http_x_forwarded_for", '

'"http_user_agent": "$http_user_agent" '

'}';

下面是nginx输出

然后修改filebeat.yml

加入 json.keys_under_root: true

json.overwrite_keys: true

json.keys_under_root: 默认这个值是FALSE的,也就是我们的json日志解析后会被放在json键上。设为TRUE,所有的keys就会被放到根节点

json.overwrite_keys: 是否要覆盖原有的key,这是关键配置,将keys_under_root设为TRUE后,再将overwrite_keys也设为TRUE,就能把filebeat默认的key值给覆盖了

filebeat.prospectors:

- input_type: log

paths:

- /var/log/nginx/access.log

json.keys_under_root: true

json.overwrite_keys: true

然后reload nginx  重启filebeat 之后的结果

版权声明:本文来源CSDN,感谢博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。

原文链接:https://blog.csdn.net/xujiamin0022016/article/details/86302504

站方申明:本站部分内容来自社区用户分享,若涉及侵权,请联系站方删除。

发表于 2020-06-06 10:08

阅读 ( 151 )

分类:前端

差差差
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Filebeat采集json日志未能成功解析的问题以及其他踩过的坑
yk20091201的专栏
06-03 1万+
使用Filebeat采集JSON格式日志入库到Elasticsearch中,Mark一下第一次配置时踩过的坑。 第1坑:每行日志被整个入到了ES索引中的一个message字段,而不是按照json解析后的字段入库 解决方案:这个问题的原因是因为json日志中只要有filebeat无法解析的格式,就会把整条记录当做一个字符串处理,入库到一个message字段,我是日志中有Windows...
ELK-日志服务【filebeat-安装使用】
L596462013的博客
07-12 1702
如果挨个配置会变得很麻烦,我们可以将这些日志进行统一几种管理,使用rsyslog将本地所有类型的日志都写入到/var/log/all.log文件中,然后使用filebeat对该文件进行收集。方式一、修改nginx日志格式 json 方式二、filebeat —> logstash。系统日志包含messages、secure、cron、dmesg、ssh、boot等。
filebeat收集json格式日志
wyl9527的博客
07-29 5481
正常情况下,我们收集到的日志格式可能和我们要求的不太一样,所以需要将日志按照我们要求的格式进行展现,在kibana中也可以直接过滤搜索。 查找对应的版本,我的是7.3版本的,官网的配置如下: filebeat.inputs: - type: log enabled: true paths: - /var/log/nginx/access.log json.key_under_root: true json.overwrite_keys: true json.mes
filebeat+kafka+clickhouse+springboot框架搭建及应用
Dcj695632854的博客
07-18 1156
提前准备好kafka、clickhouse环境。
nginx+rsyslog+kafka+clickhouse+grafana 实现nginx 网关监控
weixin_39660224的博客
12-29 1861
上面都配置完了之后可以先验证下,保证数据最终到ck,如果有问题,需要再每个节点调试,比如先调试nginx->rsyslog ,可以先不配置kafka 输出,配置为console或者文件输出都可以,具体这里就不写了。这里做了一个类型转换,因为nginx,request-time 单位是s,我想最终呈现在grafana 中是ms,所以这里做了转换,当然grafana中也可以做。kafka 相关部署这里不做赘述,只要创建一个topic 就可以。
docker安装elk6.7.1-搜集nginx-json日志
07-09
docker安装elk6.7.1-搜集nginx-json日志
filebeat-7.3.0-linux-x86_64.tar.gz
08-19
Filebeat是 Elastic Stack(也称为ELK Stack)的重要组成部分,它是一个轻量级的日志转发器,用于收集、转发和加载应用程序或系统日志到Elasticsearch、Logstash或Kibana等工具进行进一步分析。ELK Stack是由Elastic...
ELKFilebeat安装配置及日志抓取
一掬净土
01-14 1578
轻量型日志采集器无论您是从安全设备、云、容器、主机还是 OT 进行数据收集Filebeat 都将为您提供一种轻量型方法,用于转发和汇总日志与文件,让简单的事情不再繁杂。Filebeat 随附可观测性和安全数据源模块,这些模块简化了常见格式日志收集、解析和可视化过程,只需一条命令即可。之所以能实现这一点,是因为它将自动默认路径(因操作系统而异)与 Elasticsearch 采集节点管道的定义和 Kibana 仪表板组合在一起。
Nginx 日志输出配置json格式,2024年最新实战解析
最新发布
2401_84181326的博客
04-10 1085
为了做好运维面试路上的助攻手,特整理了上百道。
解决filebeat的@timestamp无法被json日志的同名字段覆盖的问题
cja_java的博客
07-09 2774
默认@timestamp是filebeat读取日志时的时间戳,但是我们在读取日志的时候希望根据日志生成时间来展示,以便根据日志生成时间点来定位问题。 这是我生成json日志格式: {"@timestamp":"2017-03-23T09:48:49.304603+08:00","@source":"vagrant-ubuntu-trusty-64","@fields":{"chann.
ELKF日志学习(七)Filebeat解析json
IMJCW的博客
12-30 1992
这是 EKF 的部分,抛去了 Logstash。 前言 有些时候,我们已经将日志存储成了 json格式,而且不需要经过 Logstash 了,我们可以直接将日志写入 Elasticsearch 中。 识别 json FileBeat 可以解析 json 格式日志,并将其传递给 Elasticsearch。 比如: filebeat.inputs: - type: log enabled: true fields: source: nginx_access_log .
Filebeat 推送json数据到ES出现Error decoding JSON: json:
有道无术,术尚可求,有术无道,止于术。
10-26 5482
问题描述:filebeat推送一个json对象到es中,一个json对象被拆分了多个对象。在kibana中显示如下图所示: 解决过程: ① 首先判断自己的json对象是否有效(https://www.json.cn/) ②查看filebeat的拿取json数据的格式(如果是下图多行的形式,在es中会将每一行都看成一个json对象,在kibana中显示的也将是多个json对象) ...
filebeat解析日志时对于json格式处理
metheir的博客
03-16 1万+
最近在用filebeat想对收集到的日志进行这样的解析:如果为json的话,就将json对象中的每个子字段解析成顶级结构下的一个字段,但是发现,解析后,保存日志完整内容的message字段(也即完整的json串)消失了,最终找到如下解决方法: 用processors中的decode_json_fields处理器进行处理,它类似logstash中的filter,具体格式如下: processo...
FileBeat采集JSON日志
热门推荐
Mr.Bean
01-17 1万+
FileBeat采集JSON日志 前言 使用FileBeat采集JSON日志传输到logstash或者elasticsearch中,其中FileBeat的版本为5.5.0,Elasticsearch的版本为5.6.8 文件配置 简单配置 关于配置filebeatjson采集,主要需要注意的有以下几个配置项 #keys_under_root可以让字段位于根节点,默认为false json.keys...
Filebeat输出json格式日志并指定message字段的值
kali_yao的博客
05-07 7661
目录 1.开启json格式所需的字段概述 2.配置示例 3.如果问题没有解决可点击官网 1.开启json格式所需的字段概述 filebeat配置input要有以下字段 json.keys_under_root: true json.overwrite_keys: true # 默认情况下,解码后的 JSON 位于输出文档中的“json”键下。如果启用此设置,则键将在输出文档中的顶层复制。默认值为 false # 如果启用了此设置,则解码的 JSON 对象中的值将覆盖 Filebeat 在发
filebeat
孔小发
06-20 1374
filebeat如何工作? 主要组件:input和harvesters(采集器进程) harvesters - 采集器 一个文件启动一个harvesters,一行一行读取单个文件的内容,并把这些内容发送到输出(output). harvester负责打开和关闭这个文件,这就意味着在harvester运行时文件描述符保持打开状态。 在harvester正在读取文件内容的时候,文件被删除或者重命名...
filebeat根据json key过滤日志
至虛極,守靜篤
11-18 539
filebeat根据json key过滤日志
filebeat 解析json日志
fyttttttt的博客
05-18 1244
filebeat配置 input_type: log paths: /var/log/nginx/nginx.log fields: host.name: 192.159.60.71 fields_under_root: true service: nginx tags: test processors: decode_json_fields: fields: [‘message’] overwrite_keys: true nginx配置 log_format log_json '{“@time
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值