filebeat收集日志,传到kafka,logstash过滤nginx,利用kibana显示nginx客户ip分布图

最新推荐文章于 2024-06-01 17:36:01 发布
最新推荐文章于 2024-06-01 17:36:01 发布
阅读量4.5k 收藏 6
点赞数 2
分类专栏: nginx linux学习 文章标签: filebeat logstash kafka kibana elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37377511/article/details/81135970
版权

流程:

nginx日志—>filebeat (收集)----->kafka (流式处理)------>logstash(过滤)----->elasticsearch(存储)------->kibana (显示)

这里只介绍各组件的配置,各组件的部署安装请参考官网。

操作环境:
centos7
nginx 1.4
filebeat , logstash , elasticsearch ,kibana 6.2

  1. 配置nginx日志格式

nginx 日志格式。(仅供参考,请根据各自业务情况设定日志格式。)

http {
    log_format  main  '$remote_addr - [$time_local] $request_method "$uri" "$query_string" '
                  '$status $body_bytes_sent "$http_referer" $upstream_status '
                  '"$http_user_agent" '

在线grok
http://grok.qiexun.net/

参考:

%{IPORHOST:clientip} - [%{HTTPDATE:timestamp}] %{WORD:verb} “%{URIPATH:uri}” “-” %{NUMBER:httpversion} %{NUMBER:response} “%{GREEDYDATA:http_referrer}” %{BASE10NUM:upstream_status} “%{GREEDYDATA:user_agent}”

2,配置kibana

编辑kibana配置文件kibana.yml,

vim /etc/kibana/kibana.yml

- type: log
  enabled: true
  paths:
    - /var/log/nginx/access.log
  fields:
    log_topics: cnginx
    
#......中间省略
#输出到kafka

output.kafka:
  hosts: ["172.17.78.197:9092","172.17.78.198:9092","172.17.78.199:9092"]
  topic: '%{[fields][log_topics]}'
  partition.round_robin:
    reachable_only: false
  required_acks: 1
  compression: gzip
  max_message_bytes: 1000000
  
最后面添加高德地图配置:
tilemap.url: 'http://webrd02.is.autonavi.com/appmaptile?lang=zh_cn&size=1&scale=1&style=7&x={x}&y={y}&z={z}'

style=7是地图,style=6是卫星图,删除kibana目录下的optimize/bundles文件夹

3,配置logstash

下载GeoIP数据库、

wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz
gzip -d GeoLiteCity.dat.gz

自定义 logstash patterns

mkdir -p /usr/local/logstash/patterns
vi /usr/local/logstash/patterns/nginx

写入:

 URIPARM1 [A-Za-z0-9$.+!*'|(){},~@#%&/=:;_?\-\[\]]*
 NGINXACCESS %{IPORHOST:clientip} \- \[%{HTTPDATE:timestamp}\] %{WORD:verb} \"%{URIPATH:uri}\" \"%{URIPARM1:param}\" %{NUMBER:httpversion} %{NUMBER:response} \"%{GREEDYDATA:http_referrer}\" %{BASE10NUM:upstream_status} \"%{GREEDYDATA:user_agent}\"

安装geoip插件:
logstash-filter-geoip - 可以获取到国家及城市信息

/usr/share/logstash/bin/logstash-plugin install logstash-filter-geoip

配置logstash

vim /etc/logstash/conf.d/nginx.conf

input {
  kafka {
  codec => "json"
  topics => ["cnginx"]
  consumer_threads => 2
  enable_auto_commit => true
  auto_commit_interval_ms => "1000"
  bootstrap_servers => "172.17.78.197:9092,172.17.78.198:9092,172.17.78.199:9092"
  auto_offset_reset => "latest"
  group_id => "xqxlog"
  }
}

filter {
  if [fields][log_topics] == "cnginx" {
     grok {
         patterns_dir => "/usr/local/logstash/patterns"
         match => { "message" => "%{NGINXACCESS}" }
         remove_field => ["message"]
           }
     date {
          match => [ "timestamp" , "dd/MMM/YYYY:HH:mm:ss Z" ]
                }

     urldecode {
          all_fields => true
            }

     geoip {
        source => "clientip"
        target => "geoip"
        database => "/etc/logstash/conf.d/GeoLite2-City.mmdb"
        add_field => ["[geoip][coordinates]","%{[geoip][longitude]}"]   #添加字段coordinates,值为经度
        add_field => ["[geoip][coordinates]","%{[geoip][latitude]}"]     #添加字段coordinates,值为纬度
          }
     mutate {
         convert => [ "[geoip][coordinates]", "float"]    #转化经纬度的值为浮点数
                }
     }
}

output {
   if [fields][log_topics] == "cnginx" {
       elasticsearch {
       hosts => ["172.17.32.90:15029","172.17.32.91:15029","172.17.32.92:15029"]
       index => "logstash-cnginx-%{+YYYY.MM.dd}"  
       #注意索引名称一定要以logstash-或者logstash_开头,不然kibana中创建地图时识别不了
    }
  }
}

启动,kafka , filebeat , logstash, elasticsearch , kibana .

登录kiban , 在 Management 选项里, 创建索引 index

创建完成后查看日志输出 如下:
创建index

创建nginx ip地图
创建ip地图

生成和保存nginx ip地图
生成和保存地图

根据nginx ip地址,进行城市排序。
这里写图片描述

张震在
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux平台centos7系统 - ELK+logback+kafka+nginx 搭建分布式日志分析平台.doc
03-23
- **logback+kafka**: 日志通过logback生成后,经kafka消息队列传递到LogstashLogstash再将处理后的日志存储到Elasticsearch,最后通过Kibana进行分析。 - **Logstash直接读取日志文件**:Logstash直接从日志文件...
Elasticsearch logstash kibana的v5.2+的安装、配置和实际使用指南
04-17
在CentOS、红帽linux下安装、配置、使用Elasticsearchlogstashkibana及相关工具分析Nginx日志的详细、保证可用的指南文档,使用ELK 5.2.2,全部过程都经过了验证,网上的相关内容要么适用于ELK的老版本,要么不...
ELK日志分析系统之(Filebeat 收集Nginx日志并写入 Kafka 缓存发送至Elasticsearch
zhl52306的博客
02-23 1800
ELK企业级日志分析系统之(Filebeat 收集Nginx日志并写入 Kafka 缓存发送至Elasticsearch
filebeat采集日志数据到kafka(一)(filebeat->kafka->logstash->es)
qq_43700739的博客
05-23 3008
一、filebeat安装 filebeat-kafka版本适配 1、安装包下载 https://www.elastic.co/cn/downloads/past-releases#filebeat 解压 2、新建yml配置文件,如test.yml filebeat.prospectors: - input_type: log paths: - /data/test.log #配置需要采集日志文件的全路径 document_type: "testtype" #
elk:使用filebeat采集日志发送到kafka
最新发布
陈鸿圳的专栏
06-01 330
下载解压修改配置文件启动filebeat
filebeat收集系统日志kafka+elk中+elastalert钉钉告警
qq_48736646的博客
01-30 1021
环境:centos7 7台 elk :7.17.1 kafka:3.5.1 filebeat:7.4.2ip分布:kafka集群:192.168.50.154-156es集群:192.168.70.61-63。
Filebeat+Kafka+ELK日志采集(二)——Filebeat
qq_40774600的博客
09-20 7920
Filebeat用于日志采集,将采集日志做简单处理(多行合并)发送至KafkaLogstashElasticsearch等。
Filebeat读取日志推送kafka(docker-compose)
weixin_49566876的博客
01-04 980
Filebeat是本地文件的日志数据采集器,可监控日志目录或特定日志文件(tail file),并将它们转发给Elasticsearch或Logstatsh进行索引、kafka等。带有内部模块(auditd,Apache,Nginx,System和MySQL),可通过一个指定命令来简化通用日志格式的收集,解析和可视化。*** kafka常用命令。
日志文件采集工具filebeat,版本8.2.2
06-14
3. **Logstash**(可选):如果需要进一步处理日志数据,例如添加字段、过滤、转换等,可以先将数据发送到Logstash进行预处理,然后再送入Elasticsearch。 五、安装与运行 下载`filebeat-8.2.2-linux-x86_64`压缩包...
Filebeat+Kafka+ELK日志采集(一)
qq_40774600的博客
09-20 2927
Filebeat实现日志采集采集指定路径的日志文件,并对日志格式、内容、字段等信息进行处理,发送至消息中间件、或发送至Logstash再次处理,或直接发送存储至Elasticsearch结合Kibana直接展示(本文采用先发送至Kafka做异步分流处理,再由Kafka推送至Logstash再次处理,最终发送至ES)。
ELK+Filebeat+Kafka日志采集
bright的博客
02-24 1726
我的开源微服务前后端分离博客项目地址,欢迎各位star 博主技术博客地址 欢迎大家进群,一起讨论学习 1.ELK2. ELFK3. 架构演进ELK缺点:ELK架构,并且Spring Boot应用使用 logstash-logback-encoder 直接发送给 Logstash,缺点就是Logstash是重量级日志收集server,占用cpu资源高且内存占用比较高ELFK缺点:一定程度上解决了ELK中Logstash的不足,但是由于Beats 收集的每秒数据量越来越大,Logstash 可能无法承载这么大
Filebeat部署+Kafka接收消息
qq_43499416的博客
08-18 2439
单机版filebeat搭建,Filebeat部署+Kafka接收消息
快速搭建轻量级日志采集系统 filebeat读取日志文件到kafka
weixin_44404862的博客
09-20 1078
快速搭建轻量级日志采集系统 filebeat读取日志文件到kafka 很多日志采集系统比如logstash,比较消耗cpu和内存,如果我们想单纯的采集日志kafka,name使用filebeat会比较适合你 日志采集模式:filebeat->kafka (后续可以根据自己的需求 使用中间件或者flume做数据的清洗再到es) 工具准备: 一:下载filebeat-6-5-3 下载地址: h...
Filebeat 日志输出至 Kafka
热门推荐
Leo的博客
08-03 1万+
Filebeat 是一款轻量级的日志采集器,可以用来收集日志,并将日志汇总起来处理。 Filebeat 的工具原理如下图所示: 图片来源: https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-overview.html 通过 filebeat 配置文件 filebeat.yml 指定需要收集日志,并指定输出至 elasticsearchlogstashkafka,redis 等。 本文讲述如何配置 filebeat,将日志
filebeat->kafka>elk日志采集
as875784622的博客
06-21 1009
/可以防止日志爆盘,将所有标准输出及标准错误输出到/dev/null空设备,即没有任何输出信息。//启动logstash --path.data 指定数据存储路径。查看消费者consumer的group列表。查看kafka中指定topic的详情。查看指定的group。
Filebeat+Kafka+ELK日志采集(四)——Logstash
qq_40774600的博客
09-30 5092
使用Logstash消费Kafka消息,对其进行过滤、筛选、分析,输出至Elasticsearch进行持久化。
pyspark学习笔记:filebeat收集日志通过kafka发送spark存入es-2023-2-18
feifeileill的博客
02-18 285
filebeat收集日志数据,接入pyspark进行更多处理,最后存入ES便于数据分析。
logstashfilebeat
01-17
LogstashFilebeat是两个常用的开源工具,用于处理和传输日志数据。它们通常与ElasticsearchKibana一起使用,形成ELK堆栈,用于实时日志分析和可视化。 Logstash是一个用于收集、处理和转发日志和事件数据的工具。它可以从各种来源(如文件、网络、消息队列等)收集数据,并对数据进行过滤、换和增强,然后将其发送到目标位置(如ElasticsearchKafka等)。Logstash使用插件来实现各种功能,例如输入插件、过滤器插件和输出插件。通过配置Logstash的管道,可以定义数据的流动和处理方式。 Filebeat是一个轻量级的日志数据传输工具,用于将日志数据从服务器发送到中央存储或分析系统。它可以监视指定的日志文件或位置,将新的日志事件发送到指定的目标位置(如LogstashElasticsearch等)。Filebeat具有低资源消耗和高性能的特点,适用于在大规模分布式环境中收集和传输日志数据。 通过LogstashFilebeat的结合使用,可以实现以下功能: 1. 收集和传输日志数据:Filebeat负责监视和传输日志文件,Logstash负责接收和处理传入的日志数据。 2. 数据过滤和转换:Logstash可以使用各种过滤器插件对日志数据进行过滤、解析和转换,以便更好地理解和分析数据。 3. 数据增强和丰富:Logstash可以对日志数据进行增强,例如添加额外的字段、记事件等,以便更好地进行分析和可视化。 4. 数据存储和索引:Logstash可以将处理后的日志数据发送到Elasticsearch等目标位置,以便进行存储和索引,以供后续的搜索和分析。 下面是一个演示LogstashFilebeat的例子: 1. 配置Filebeat: ```yaml filebeat.inputs: - type: log paths: - /var/log/nginx/access.log output.logstash: hosts: ["localhost:5044"] ``` 2. 配置Logstash: ```conf input { beats { port => 5044 } } filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } } output { elasticsearch { hosts => ["localhost:9200"] index => "nginx-access-%{+YYYY.MM.dd}" } } ``` 3. 启动FilebeatLogstash: ``` # 启动Filebeat filebeat -e -c filebeat.yml # 启动Logstash logstash -f logstash.conf ``` 通过以上配置和命令,Filebeat将监视Nginx访问日志文件,并将新的日志事件发送到LogstashLogstash将使用Grok过滤器对日志数据进行解析和转换,然后将处理后的数据发送到Elasticsearch进行存储和索引。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值