filebeat收集日志,传到kafka,logstash过滤nginx,利用kibana显示nginx客户ip分布图

最新推荐文章于 2024-08-10 12:00:00 发布
最新推荐文章于 2024-08-10 12:00:00 发布
阅读量4.6k 收藏 6
点赞数 2
分类专栏: nginx linux学习 文章标签: filebeat logstash kafka kibana elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37377511/article/details/81135970
版权

流程:

nginx日志—>filebeat (收集)----->kafka (流式处理)------>logstash(过滤)----->elasticsearch(存储)------->kibana (显示)

这里只介绍各组件的配置,各组件的部署安装请参考官网。

操作环境:
centos7
nginx 1.4
filebeat , logstash , elasticsearch ,kibana 6.2

  1. 配置nginx日志格式

nginx 日志格式。(仅供参考,请根据各自业务情况设定日志格式。)

http {
    log_format  main  '$remote_addr - [$time_local] $request_method "$uri" "$query_string" '
                  '$status $body_bytes_sent "$http_referer" $upstream_status '
                  '"$http_user_agent" '

在线grok
http://grok.qiexun.net/

参考:

%{IPORHOST:clientip} - [%{HTTPDATE:timestamp}] %{WORD:verb} “%{URIPATH:uri}” “-” %{NUMBER:httpversion} %{NUMBER:response} “%{GREEDYDATA:http_referrer}” %{BASE10NUM:upstream_status} “%{GREEDYDATA:user_agent}”

2,配置kibana

编辑kibana配置文件kibana.yml,

vim /etc/kibana/kibana.yml

- type: log
  enabled: true
  paths:
    - /var/log/nginx/access.log
  fields:
    log_topics: cnginx
    
#......中间省略
#输出到kafka

output.kafka:
  hosts: ["172.17.78.197:9092","172.17.78.198:9092","172.17.78.199:9092"]
  topic: '%{[fields][log_topics]}'
  partition.round_robin:
    reachable_only: false
  required_acks: 1
  compression: gzip
  max_message_bytes: 1000000
  
最后面添加高德地图配置:
tilemap.url: 'http://webrd02.is.autonavi.com/appmaptile?lang=zh_cn&size=1&scale=1&style=7&x={x}&y={y}&z={z}'

style=7是地图,style=6是卫星图,删除kibana目录下的optimize/bundles文件夹

3,配置logstash

下载GeoIP数据库、

wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz
gzip -d GeoLiteCity.dat.gz

自定义 logstash patterns

mkdir -p /usr/local/logstash/patterns
vi /usr/local/logstash/patterns/nginx

写入:

 URIPARM1 [A-Za-z0-9$.+!*'|(){},~@#%&/=:;_?\-\[\]]*
 NGINXACCESS %{IPORHOST:clientip} \- \[%{HTTPDATE:timestamp}\] %{WORD:verb} \"%{URIPATH:uri}\" \"%{URIPARM1:param}\" %{NUMBER:httpversion} %{NUMBER:response} \"%{GREEDYDATA:http_referrer}\" %{BASE10NUM:upstream_status} \"%{GREEDYDATA:user_agent}\"

安装geoip插件:
logstash-filter-geoip - 可以获取到国家及城市信息

/usr/share/logstash/bin/logstash-plugin install logstash-filter-geoip

配置logstash

vim /etc/logstash/conf.d/nginx.conf

input {
  kafka {
  codec => "json"
  topics => ["cnginx"]
  consumer_threads => 2
  enable_auto_commit => true
  auto_commit_interval_ms => "1000"
  bootstrap_servers => "172.17.78.197:9092,172.17.78.198:9092,172.17.78.199:9092"
  auto_offset_reset => "latest"
  group_id => "xqxlog"
  }
}

filter {
  if [fields][log_topics] == "cnginx" {
     grok {
         patterns_dir => "/usr/local/logstash/patterns"
         match => { "message" => "%{NGINXACCESS}" }
         remove_field => ["message"]
           }
     date {
          match => [ "timestamp" , "dd/MMM/YYYY:HH:mm:ss Z" ]
                }

     urldecode {
          all_fields => true
            }

     geoip {
        source => "clientip"
        target => "geoip"
        database => "/etc/logstash/conf.d/GeoLite2-City.mmdb"
        add_field => ["[geoip][coordinates]","%{[geoip][longitude]}"]   #添加字段coordinates,值为经度
        add_field => ["[geoip][coordinates]","%{[geoip][latitude]}"]     #添加字段coordinates,值为纬度
          }
     mutate {
         convert => [ "[geoip][coordinates]", "float"]    #转化经纬度的值为浮点数
                }
     }
}

output {
   if [fields][log_topics] == "cnginx" {
       elasticsearch {
       hosts => ["172.17.32.90:15029","172.17.32.91:15029","172.17.32.92:15029"]
       index => "logstash-cnginx-%{+YYYY.MM.dd}"  
       #注意索引名称一定要以logstash-或者logstash_开头,不然kibana中创建地图时识别不了
    }
  }
}

启动,kafka , filebeat , logstash, elasticsearch , kibana .

登录kiban , 在 Management 选项里, 创建索引 index

创建完成后查看日志输出 如下:
创建index

创建nginx ip地图
创建ip地图

生成和保存nginx ip地图
生成和保存地图

根据nginx ip地址,进行城市排序。
这里写图片描述

张震在
关注
专栏目录
使用Kibana画图展示Nginx日志报表
qq_40907977的博客
04-20 1875
1. 准备工作 将${FILEBEAT_HOME}/kibana目录复制到其他目录,使用RPM安装的filebeat在/usr/share目录下 [root@node01 ~]# cp -a /usr/share/kibana /root/filebeat-kibana /root/filebeat-kibana目录下只留个3文件 filebeat-kibana/6/dashboard/...
filebeat 收集nginx日志发送到logstash,并且用logstash 切割日志发送到elasticsearch,使用kibana展示出来
huyue1107的博客
09-22 679
注意:es 和kibana配置没什么好说的,kibana主要是打开console.enabled: "true",logstat 需要给nginx日志切割一下,message是切割nginx日志,下面会详细讲如何切割。3、type: nginx-log 这个是类型,要和lostash中的output名称一致,看不清楚可以浏览器 curl+f 搜一下nginx-log。说明:准备的都是单台没有集群,es也没设置密码,项目内部使用,并没用对外开,都是安全组过白IP的。
ELK 使用kibana查询和分析nginx日志
tmaczt的博客
07-25 774
ELK 使用kibana查询和分析nginx日志
NginxLogstash日志收集管道
最新发布
java专栏
08-10 991
📚 Nginx是一个高性能的HTTP服务器和反向代理服务器,广泛用于处理Web流量和负载均衡。Logstash是一个开源的服务器端数据处理管道,能够同时从多个来源采集数据,进行处理,并将其发送到你的存储库中。
filebeat如何过滤掉不要的日志filebeat对json格式日志过滤filebeat正则过滤日志
qq_32352777的博客
05-11 9142
Filebeat 是 Elastic Stack 的一部分,因此能够与 LogstashElasticsearchKibana 无缝协作。无论您要使用 Logstash 转换或充实日志和文件,还是在 Elasticsearch 中随意处理一些数据分析,亦或在 Kibana 中构建和分享仪表板,Filebeat 都能轻松地将您的数据发送至最关键的地方。
使用kibana分析nginx日志
系统运维
04-16 3969
1)nginx日志格式 http { log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_ag...
EFK收集nginx日志kibana可视化统计访问前10IP,PV、UV数据,配置nginx正则匹配,手把手教会每一位新兴的程序猿~@^Y^
qing1912的博客
09-20 2070
EFK收集nginx日志在上一篇的基础上 【153端】操作1.安装epel和ab压测2.安装nginx并启动3.验证端口4.编辑filebeat配置文件5. 启动filebeat6.添加nginx配置文件【154端】7.修改管道【化一为二】8.编写正则匹配9.重启/验证10.【153端】11.登录测试 在上一篇的基础上 【153端】操作 1.安装epel和ab压测 yum -y install epel-release httpd-tools 2.安装nginx并启动 yum -y install ng
【ELK企业级日志分析系统】部署Filebeat+Kafka+Logstash+Elasticsearch+Kibana集群详解(EFLFK)
陌上花开,静待绽放!
07-13 1600
需做白日梦。你要清楚地知道你到底是谁,要去哪里。要成为一个什么样的人,很多人浑浑噩噩,得过且过。你能清楚地意识到,或者梦想去到达彼岸,有时候,人生境遇就是如此,轻而易举滴到达你的彼岸。
ELK——ELK+filebeat+kafka部署——(2)部署nginx+filebeat
w1206507055的博客
06-17 431
ELK——ELK+filebeat+kafka部署——(2)部署nginx+filebeat
Filebeat + Logstash + Kafka + Elasticsearch 架构部署详细步骤
panbuhei
07-29 4570
此文档是在生产环境中搭建日志(Java)收集系统后的整理文档,其中除了 elk 常规架构以外,还添加了 kafka 集群,可以起到解耦和缓冲(削峰)的作用。 还部署了 kafka 的 web 端监控 kafka-eagle 和 elasticsearch 的 web 端cerebro。 最后还增加了 Nginx 日志收集(测试)的相关配置文件。
FileBeat+Elasticsearch+Logstash+Kibana日志收集分析系统搭建
canthny的专栏
08-15 1884
准备阶段 6.0以上版本需要jdk1.8,自行安装 wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.0.0-linux-x86_64.tar.gz wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.0.0...
6个步骤轻松实现 postman 接口压力测试(建议收藏),2024年最新2024阿里软件测试高级面试题总结
2401_84240431的博客
04-15 718
行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
logstash7.15.1 导入ngnix日志kibana根据ip在地图进行统计展示
liaomingwu的专栏
03-05 728
logstash7.15.1 导入ngnix日志kibana根据ip在地图进行统计展示
filebeat收集Nginx访问日志kafkalogstash消费到elasticsearchkibana展示报表
习惯了想你的博客
09-25 2240
文章目录配置规则Nginxfilebeatkafkalogstash附录logstash 相关功能urldecodelogstash 写入输出kafka范例vim快捷键参考文章 需求背景:有一个对用户行为的分析需求,类似于用户在浏览某网页的时候,上报用户的行为信息。请求某个域名,参数信息带在url上面。类似于:http://www.baidu.com?content={"a:"b"}&us...
ELK整合Filebeat监控nginx日志
qq_29860591的博客
11-07 1541
ELK 日志分析 1. 为什么用到 ELK 一般我们需要进行日志分析场景:直接在日志文件中 grep、 awk 就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。 一般大型系统是一个分布式...
ELK+kafka+filebeat实现nginx日志收集
完颜振江
02-07 870
工作流如下 nginx产生日志filebeat收集日志推送到kafkalogstashkafka获取到数据,推送到es处理,最后kibana在页面展示 服务规划 #ES服务三台 10.88.0.250 10.88.0.251 10.88.0.252 #kafka一台(自带zk) 10.88.0.252 #logstash一台 10.88.0.250 #kibana一台 10.88.0.250 #软件管理方式,supervisor #pip install su...
centos部署flask
suddle的博客
07-29 275
首先安装uwsgi pip install uwsgi 配置uwsgi [uwsgi] # uwsgi 启动时所使用的地址与端口(可以与项目端口不一致) socket = 127.0.0.1:5000 # 你的项目目录 chdir=/root/spider/byt # python 启动程序文件 wsgi-file = flsk.py # python 程序内用以启动的 application 变量名 callable = app # 处理器数 processes = 4 # 线程数 threads =
Docker+ES+kibana+logstash+收集nginx日志(1)
song179101723的博客
04-19 256
可以在本地建好文件再上传到docker中未方便看ES的索引状态,可以安装elasticsearch-head,这样环境就搭建完成,接下来就需要创建数据源,往ES写数据,再在kibana上进行展示。1、搭建ES+kibana环境(这里使用的是docker,真是太方便了,其中参考了部分大神的资料)
使用ELK收集解析nginx日志kibana可视化仪表盘
浮尘笔记
08-31 1926
收集nginx的文件日志并写入到队列(kafka/redis),然后在另一台机器上消费队列中的日志数据并流转到。kibana dashboard 是一个统计数据展示面板,可以通过不同的维度进行统计和展示。我这里用kibana7.17.12版本演示,不同版本的kibana界面可能不一样。然后打开ES的页面,账号:elastic,密码就是你刚才设置的密码。然后重新启动kibana,再次访问,需要输入账号和密码。输入y开始设置,六种密码设置完成后,需要再次重启ES。,需要设置以下六种账户的密码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值