nginx deny ip段_[日志分析]Graylog2进阶 通过正则解析Nginx日志

最新推荐文章于 2024-08-19 20:50:40 发布
最新推荐文章于 2024-08-19 20:50:40 发布
阅读量312 收藏
点赞数
文章标签: nginx deny ip段 nginx log response

f679d759378145b17a81f88320f3e363.png

之前分享的 [日志分析]Graylog2采集Nginx日志 主动方式 这篇文章介绍了Graylog如何通过Graylog Collector Sidecar来采集nginx日志。

由于日志是未经处理的,所以类似$remote_addr $request_time $upstream_addr $upstream_response_time的字段并没有解析出来,而是都显示在默认的message中,很不利于我们今后的分析工作。

为了解决这个问题,就引入了graylog另一个非常强大的功能 Extractors ,Extractors 翻译过来叫提取器,顾名思义,就是将原始日志的各个字段通过正则匹配的方式提取并保存到相对应的字段中。

针对这次nginx的字段提取,我着重讲一下Extractors的Grok pattern用法。这是日常生产处理原始日志 ,最常用的一种方式。

(1)先去查看nginx配置文件的log_format选项:

log_format access '$remote_addr - [$time_local] $request_time $upstream_addr $upstream_response_time "$request_method $scheme://$host$request_uri" $status $body_bytes_sent "$http_referer" "$http_user_agent" "$http_x_forwarded_for"';

(2)根据log_format的输出格式编写相应的正则表达式,简单讲解一下以^%{IP:remote_addr} 为例,^代表日志开头,大括号里面的IP代表名为IP的grok pattern,可以在System/Grok pattern中查到,冒号后边就是你要存储的字段名称为remote_addr 。

^%{IP:remote_addr} - [%{HTTPDATE:time_local}] %{DATA:request_time} %{DATA:upstream_addr} %{DATA:upstream_response_time} "%{NOTSPACE:method} %{NOTSPACE:url}" %{NOTSPACE:status} %{DATA:body_bytes_sent} %{DATA:http_referer} "%{DATA:http_user_agent}"s+"%{DATA:http_x_forwarded_for}"

(3) 在导航栏Search 选择一条nginx日志,在message字段右边,点击小三角选择 Grok pattern -> Creat extractor for field message 到Extractors 页面。

ed87a5af38911a018a43d20c534a3cce.png

(2)选中Named captures only复选框,Grok pattern填入正则,点击Try可以看到解析后的笑果,相应的字段已经解析出来了。

e9f0adc98d46f6d7f9760027d13562f7.png

知乎:酒局下饭

微信公众号:酒局下饭

weixin_39946029
关注
Nginx服务器实现通过ip和user_gent限制访问的方法分析
09-29
`deny`指令用于拒绝指定的IPIP访问,而`allow`指令则用来允许特定的IPIP访问。例如: ```nginx # 拒绝单个IP访问 deny 192.168.1.12; # 拒绝整个IP访问 deny 192.168.1.0/24; # 允许内网IP访问 allow...
Graylog2:从Nginx收集日志并在Grafana中展示与分析
NewTyun的博客
09-02 3715
本文讨论了在Graylog2系统中收集Nginx日志的可能性,以及如何在Grafana中进行展示与分析。本文的所有的操作都在Debian 9.5 OS上完成配置Nginx版本:Nginx...
通过监控Nginx日志来实时屏蔽高频恶意访问的IP
陈万洲的专栏
06-30 1693
目前在我的VPS上主要通过两种方式来限制ip的访问次数。Nginx 提供了两个模块: 和 ,前者是限制同一ip在一时间内的访问总次数,后者是限制同一ip的并发请求次数。我的配置主要如下: $binary_remote_addr 根据客户端ip作为键值,zone设置唯一标识并设置存储内存大小,每分钟请求不超过20次,否则返回503错误。 burst=5 表示如果超过频率限制后可缓冲的等待请求数。nodelay表示burst部分不需要等待,nginx会直接处理等待部分的请求。 limit_req_log_
日志审计Graylog 使用教程-kafka收取消息
最新发布
qq_41167620的博客
08-19 1466
Graylog 常用于 IT 运维、安全监控、故障排查等场景,通过对日志数据的集中管理和分析,帮助企业提高系统的可观测性和问题解决能力。产生的告警内容,我们自定义字“renyuan”他的value通过映射表username关联到的。我们创建映射表时,通过username查找department内容,并添加到告警自定义字中。他作为动态数据获取,比如IP 地理位置等,根据日志某个字的信息从XX库找到对应的数据。这里内容是kafka生产的消息,只作为日志,可以对每个字配置提取。
Graylog收集nginx日志做地图事态感知
King config
10-19 2142
这个东西有什么用呢 我们通过搜集日志的信息。将日志在通过Graylog进行分析,例如将日志中的IP地址进行字提取 ,可以分析用户的访问地,做一个统计,可以灵敏感知用户群体分布地如下图 搜集日志的过程如下图 Graylog Sidecar是一种针对不同日志收集器的轻量级配置管理系统,Graylog 节点充当包含日志收集器配置的集中式枢纽。 在支持的消息生成设备/主机上,Sidecar 可以作为服务(Windows 主机)或守护程序(Linux 主机)运行。 日志收集器配置通过
使用本地IP安全策略阻止指定IP访问本机
psbeyond的专栏
12-24 3236
作者:刘树伟 日期:2020-12-24 Windows防火墙可以阻止所有IP访问本机,如果想让某个IP访问本机,就把它加到“例外”规则中,“例外”规则就相当于白名单,但防火墙没有黑名单,不能指定阻止某个IP的访问。 如果想阻止某个IP访问本机,可以使用“本地IP安全策略”。运行“secpol.msc”可以打开“本地安全设置”,里面有“IP 安全策略,在 本地计算机”设置项,通过它,就可以达到阻止指定IP访问本机的目的。 如果想这么做,首先要在“IP 安全策略,在 本地计算机”...
nginx 查看访问 IP 并封禁 IP 详解
wml
07-06 1万+
1、查找服务器所有访问者ip方法:awk '{print $1}' nginx_access.log |sort |uniq -c|sort -nnginx.access.lognginx访问日志文件所在路径会到如下结果,前面是ip的访问次数,后面是ip,很明显我们需要把访问次数多的ip并且不是蜘蛛的ip屏蔽掉,如下面结果, 若 66.249.79.84 不为蜘蛛则需要屏蔽: 89 1
nginx关闭favicon.ico、robots.txt日志记录配置
09-30
这里,`allow all`允许所有IP访问`robots.txt`,但同样地,`log_not_found off`和`access_log off`禁用了找不到文件的日志记录和访问日志。 接下来,我们要防止用户访问服务器上的隐藏文件,如`.htaccess`、`....
nginx.config_nginx_
10-01
- `error_log`: 定义错误日志文件的位置和级别,如`error_log /var/log/nginx/error.log info;`表示将错误日志记录在指定位置,并设置日志级别为info。 2. **events块** - `events`块用于配置Nginx如何处理连接...
Nginx限制IP访问某些页面的操作
09-29
Nginx是一款高性能的HTTP和反向代理服务器,常用于...通过以上步骤,您可以灵活地控制Nginx服务器对特定IPIP的访问权限,以满足不同的安全和管理需求。请注意,这些配置应当谨慎操作,避免误封正常访问的IP地址。
Nginx服务器限制IP访问的各种情况全解析
09-30
5. allow和deny的使用:Nginx配置文件中可以通过allow和deny指令定义IP访问控制策略。例如,可以仅允许特定IP地址访问特定目录,或者拒绝对某个目录的访问。 6. 全局限制IP访问:可以通过在nginx.conf文件中使用...
分析nginx日志屏蔽攻击者ip
枫叶的博客
08-07 3726
最近,我分析了一下日志,发现有同一个ip不断地请求我的短信接口,然后就写一个脚本来自动分析日志对这些IP进行屏蔽,本文介绍如何利用nginx屏蔽ip来实现防止攻击,当然也可以通过iptable来实现。 首先,在nginx的安装目录下面,新建屏蔽ip文件,命名为blockip.conf,以后新增加屏蔽ip只需编辑这个文件即可,格式如下: deny 165.91.122.67; 再在nginx的...
Graylog日志收集分析系统部署记录
Tomoyolq的专栏
06-25 4200
一.框架描述       框架使用rsylog+kafka+graylog+elasticsearch技术,其中rsyslog作为日志转发和分解工具,kafka作为日志暂存队列和缓存工具,graylog则作为日志流处理以及查询工具,elasticsearch作为日志索引和存储。       首先,rsyslog可以通过不同的输入组件来抓取或接收日志,目前提供的并且有可能使用到的方式包括:tcp、u...
graylog通过提取器extractor解析日志
yuzhu
07-14 1055
graylog通过提取器extractor解析日志
graylog日志分析管理系统入门教程
xllntld的专栏
09-27 4220
日志分析系统可以实时收集、分析、监控日志并报警,当然也可以非实时的分析日志。splunk是功能强大且用起来最省心的,但是要收费,免费版有每天500M的限制,超过500M的日志就没法处理了。ELK系统是最常见的,缺点是配置麻烦一些,比较重量级。graylog是开源免费的,配置上要比ELK系统简单。综上,本文尝试容器方式搭建一套graylog系统,不做实时收集日志和报警的配置,只完成非实时被动接收网站日志,分析日志各项指标的功能。 docker官方镜像国内速度我觉得慢,改成国内镜像。新建文件daemon.jso
使用 Graylog 管理服务日志
热门推荐
kwkwc的博客
08-23 2万+
日志管理是一件麻烦的事情,特别是服务多的情况下出了问题需要排错、分析非常困难,一般会使用 ELK,但这篇文章将会介绍另外一个同样优秀的日志聚合平台 Graylog
搭建Graylog3.2,并管理Nginx日志(一)
qq_30322893的博客
03-21 2381
Graylog是一个优秀的日志平台,这几天因为需要使用他,所以在这里记录一下安装和使用。 Graylog3.2版本文档:https://docs.graylog.org/en/3.2/index.html 准备工作 系统环境:Ubuntu18、docker、docker-compose 安装 我选择了docker的安装方式,Graylog需要mongo、elasticsearch的...
Nginx访问日志分析
乡宁大窝的博客
04-11 2万+
1.首先说明Nginx日志存放在系统的哪个位置,可以使用下列命令: 找到*/nginx/logs/access.log这个关键路径,就是Nginx的访问日志的位置。(其中*代表你电脑nginx文件夹前面的路径) 2.Nginx默认的日志格式如下: log_format main '$remote_addr - - $remote_user [$time_local] "$request"...
Graylog分析Nginx日志并通过GeoIP2获取访问者IP的地理位置信息
weixin_34220963的博客
07-02 915
简介: Graylog相对于ELK是较为轻量级的日志管理平台 Graylog官网:https://×××w.graylog.org/ Graylog-server:Graylog接收来自后端各种应用程序的日志并提供Web访问接口 Graylog Collector Sidecar:负责收集应用程序日志并发送至Graylog-server Elasticsearch:用于索引和保存接收到的日...
Nginx配置解析nginx.conf详解及关键设置
此外,Nginx还支持基于IP的访问控制,如`allow`和`deny`指令,可以用于限制或允许特定IP地址的访问。例如,`allow 192.168.0.0/24`会允许192.168.0.0子网的访问。 通过这些配置,你可以精细地调整Nginx以满足特定的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值