logstash解析nginx时间字段

最新推荐文章于 2022-07-19 09:16:44 发布
最新推荐文章于 2022-07-19 09:16:44 发布
阅读量1.5k 收藏
点赞数
文章标签: 运维 json 大数据
原文链接:https://my.oschina.net/attacker/blog/3050215
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

下面比较 nginx配置中输出日志格式的时间字段在两种格式下的解析方法:

$time_iso8601

log_format json '{"@timestamp":"$time_iso8601",'
                 '"host":"$server_addr",'
                 '"clientip":"$remote_addr",'
                 '"request":"$request",'
                 '"status":"$status",'
                 '"request_method": "$request_method",'
                 '"size":"$body_bytes_sent",'
                 '"request_time":"$request_time",'
                 '"upstreamtime":"$upstream_response_time",'
                 '"upstreamhost":"$upstream_addr",'
                 '"http_host":"$host",'
                 '"url":"$uri",'
                 '"http_forward":"$http_x_forwarded_for",'
                 '"referer":"$http_referer",'
                 '"agent":"$http_user_agent"}';

access_log  /var/log/nginx/access.log json ;

此时,日志中的时间格式为”2017-01-17T16:51:42+08:00” logstash解析该时间格式配置如下,此时时间戳timestamp采用locals:

filter {
    grok {
        match => { "message" => "%{TIMESTAMP_ISO8601:locals}" }
    }
    date {
        locale => "en"
        match => [ "locals", "ISO8601"]
    }
}

输入:2017-01-17T11:53:13+08:00 输出:

{
“@timestamp” => 2017-01-17T00:08:41.000Z,
“@version” => “1”,
“host” => “elk.dev”,
“message” => “2017-01-17T08:08:41+08:00”,
“locals” => “2017-01-17T08:08:41+08:00”,
“tags” => []
}

$time_local nginx配置使用该变量时时间格式为“17/Jan/2017:17:14:08 +0800” 此格式相应的logstash配置如下,

filter {
    grok {
        match => ["message", "%{HTTPDATE:logdate}"]
    }
    date {
        locale => "en"
        match => ["logdate", "dd/MMM/yyyy:HH:mm:ss Z"]
    }
}

输入:17/Jan/2017:17:11:10 +0800 输出:

{
“@timestamp” => 2017-01-17T09:11:10.000Z,
“logdate” => “17/Jan/2017:17:11:10 +0800”,
“@version” => “1”,
“host” => “elk.dev”,
“message” => “17/Jan/2017:17:11:10 +0800”,
“tags” => []
}

转载于:https://my.oschina.net/attacker/blog/3050215

weixin_33708432
关注
NginxLogstash:日志收集管道
java专栏
08-10 1015
📚 Nginx是一个高性能的HTTP服务器和反向代理服务器,广泛用于处理Web流量和负载均衡。Logstash是一个开源的服务器端数据处理管道,能够同时从多个来源采集数据,进行处理,并将其发送到你的存储库中。
logstash nginx 日志时间戳替换
zhaoyangjian724的专栏
12-07 632
nginx access log 时间替换: [elk@node2 conf]$ cat logstash_nginx.conf input { file { path=>["/home/elk/conf/nginx.txt"] type=>"system" } } filter { mutate { add_field =>["newmessage","%{type},%{message}"] } ...
ELK测试:logstash解析nginx时间字段
Jianblog's VED
01-17 7284
下面比较 nginx配置中输出日志格式的时间字段在两种格式下的解析方法:$time_iso8601log_format json '{"@timestamp":"$time_iso8601",' '"host":"$server_addr",' '"clientip":"$remote_addr",'
ELK测试 logstash 配置,包含解析时间字段
u011007997的专栏
05-21 1045
input { #使用beats 收集 日志 beats { port => "5044" } } filter { if[fields][logtype]=="access" { grok { match => { "message" => '%{HTTPDATE:logdate}' #...
Logstash解析嵌套JSON格式数据&常见时间操作
XMZHSY的博客
11-30 8760
嵌套Json格式数据 JSON格式一 有如下JSON日志(position下是一个JSON) { "RequestTime":1637737587605, "timestamp":"2021-11-24T15:06:42.681Z", "position":{ "LogType":"请求日志", "TopDirectory":"stream_ad_v1", "RequestIp":"127.0.0.1" } } 将其.
Logstash替换字符串,解析json数据,修改数据类型,获取日志时间
weixin_30747253的博客
10-22 1122
在某些情况下,有些日志文本文件类json,但它的是单引号,具体格式如下,我们需要根据下列日志数据,获取正确的字段字段类型 {'usdCnyRate': '6.728', 'futureIndex': '463.36', 'timestamp': '1532933162361'} {'usdCnyRate': '6.728', 'futureIndex': '463.378', 'tim...
Logstash分析nginx日志
一起学习吧
07-04 585
Logstash分析nginx日志 文章目录Logstash分析nginx日志1 日志转化格式及步骤1.将nginx普通日志转换json2.将nginx日志的时间格式进行格式化输出3.将nginx日志的来源ip进行地域分析4.将nginx日志的user-agent字段进行分析5.将nginx日志的bytes修改为整数6.移除没用的字段,message、headers 将日志先读入到filebeat(filebeat安装在装有nginx机器中)中,然后filebeat在输出到logstash中,logsta
使用logstash分析nginx日志 elasticsearch存储日志 kibana展示日志
boxrice007的博客
07-06 275
1 配置nginx log_format main '$remote_addr [$time_local] "$request" $status $body_bytes_sent "$http_referer" $request_time "$upstream_addr" $upstream_response_time "$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main;
使用filebeat+logstash收集Nginx应用日志
江晓龙的博客
07-19 1146
可以看到Nginx产生的日志是有很多字段内容的,比如客户端IP、请求的URL、请求的状态码、使用的浏览器类型等等,针对这些内容是很有必要解析出单个字段的,便于我们在kibana中进行查询。采用Nginx自己的JSON格式的日志格式去收集日志数据,在logstash中使用json插件进行解析。我们使用logstash的grok插件,通过正则的方式将每一个部分的内容解析字段格式。左侧添加上中文的字段名,查询具体的日志内容。产生Nginx日志,多访问几次Nginx。左侧添加上要查询的字段,进行数据查询。...
Nginx修改日志格式 日志分析 字段分离 ES数据格式的转换nginx日志参数详解
wpskdsl的博客
06-11 833
需求背景:小组内需要做一些日志分析工作,但生产环境的日志不包含请求时间数据,但是直接修改生产配置影响太大,所以只能增加一个nginx日志格式同时产生两种日志并分开存储,之后通过firebeat做字段分离并将其传输到logstash(这里用firebeat传输到logstash的原因是,nginx日志存储生产环境使用的是firebeat,而日志分析的elk部署在另一个AWS区域的非生产环境),最后在logstash当中做类型转换,然后在kibana中展示、分析 软件版本:本次搭建使用的软件都是6.2.4版本
Logstash 原理分析/配置文件详解 时间 日期 时区 ip 反斜杠 grok在线地址 类型转换
浮生若梦
10-05 6424
基本配置 Logstash 本身不能建立集群,Filebeat 连接 Logstash 后会自动轮询 Logstash 服务器是否可用,把数据发送到可用的 Logstash 服务器上面去 Logstash 配置,监听5044端口,接收 Filebeat 发送过来的日志,然后利用 grok 对日志过滤,根据不同的日志设置不同的 type,并将日志存储到 Elasticsearch 集群上面 项目...
logstash 各种时间转换
weixin_30632089的博客
09-21 516
<pre name="code" class="html">日期格式转换: /***** nginx 访问日志 [elk@zjtest7-frontend config]$ cat stdin02.conf input { stdin { } } filter { grok { match => ["message", "%{I...
logstash 匹配 nginx access 日志
weixin_34250709的博客
03-14 259
ELK系统收集的nginxaccess日志内容默认都是作为一个整体放在messages字段中的,无法对诸如upstream_response_time、upstream_status等重要字段进行单独分析比较,因此,就需要使用logstash的grok功能从access日志中匹配提取各个变量1.首先确定nginx的日志格式在nginx的配置文件中设置日志格式:l...
Logstash收集nginx访问日志和错误日志
heitaoking的博客
05-09 798
Logstash收集nginx访问日志和错误日志 </h1> <div class="clear"></div> <div class="postBody"> 1、收集访问日志 1)、首先是要在nginx里面配置日志格式化输出 log_format main "$http_x_forwarded_for | $t...
logstash收集nginx日志
qq_40907977的博客
06-05 3280
1.配置nginx日志 编辑nginx.conf文件 vim /etc/nginx/nginx.conf 在http节点下配置如下 log_format json '{"@timestamp":"$time_iso8601",' '"@version":"1",' '"client":"$remote_addr",' '"url":"$uri",'
Logstash解析Nginx访问日志
chaoqianggao4414的博客
07-11 1162
Nginx日志格式 log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$ht...
logstash 处理各种时间格式
weixin_30767835的博客
10-22 1163
tomcat access日志: { "@version" => "1", "@timestamp" => "2016-10-22T12:58:07.000Z", "path" => "/data01/applog_backup/zjzc_log/zj-api-access01.2016-10-2...
logstash grok 解析Nginx
最新发布
06-07
好的,我可以为您解析如何使用Logstash的Grok插件来解析Nginx日志。首先,您需要安装Logstash和Grok插件。然后,您需要编写一个Logstash配置文件,例如: ``` input { file { path => "/var/log/nginx/access.log" start_position => "beginning" } } filter { grok { match => { "message" => "%{IPORHOST:clientip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:verb} %{DATA:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:response} %{NUMBER:bytes} \"%{DATA:referrer}\" \"%{DATA:agent}\"" } } } output { elasticsearch { hosts => ["localhost:9200"] index => "nginx-access-%{+YYYY.MM.dd}" } } ``` 在这个配置文件中,我们使用file输入插件来读取Nginx的访问日志,然后使用Grok插件来解析每条日志。Grok插件中的match字段指定了一个正则表达式,用来匹配Nginx日志的格式,例如上面的正则表达式可以匹配下面这样一条日志: ``` 127.0.0.1 - - [02/Jan/2020:10:00:00 +0800] "GET /index.html HTTP/1.1" 200 1234 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" ``` 最后,我们使用elasticsearch输出插件将解析后的日志存储到Elasticsearch中,以便后续进行数据分析和可视化。您可以根据自己的需求,修改配置文件中的字段名和输出格式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值