利用ELK技术栈收集nginx日志

最新推荐文章于 2023-02-14 13:46:54 发布
最新推荐文章于 2023-02-14 13:46:54 发布
阅读量195 收藏 1
点赞数
文章标签: elasticsearch nginx linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangshujun19810223/article/details/106409042
版权

之前的一篇文章已经介绍如何使用nginx写入post的数据入日志,详细见链接:
nginx的post命令记录body到日志中

接下来使用filebeat、logstash、elasticsearch把日志文件收集、整理并存储,以方便后续进行查看和分析,需要安装的包如下:

filebeat-7.7.0-linux-x86_64.tar.gz
下载链接:https://pan.baidu.com/s/1hRTEZpBzXEfulmOtmqQmmQ
提取码:fdbr

logstash-7.7.0.tar.gz
下载链接:https://pan.baidu.com/s/12KLCDNbJ5rwT3r0a9ustCw
提取码:qpi6

一、filebeat配置

1、修改filebeat文件夹下的filebeat.yml,这里只列出修改的地方,需要注意的是把其他输出注释掉,开启logstash:

  # Change to true to enable this input configuration.
  enabled: true

  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    - /usr/local/nginx_stream/nginx/logs/app_post.log
    
#============================== Kibana =====================================
#setup.kibana:

#-------------------------- Elasticsearch output ------------------------------
#output.elasticsearch:

#----------------------------- Logstash output --------------------------------
output.logstash:
  # The Logstash hosts
  hosts: ["localhost:5044"]

2、启动filebeat,命令如下,路径根据自己的配置就好了:

/usr/local/nginx_stream/filebeat-7.7.0-linux-x86_64/filebeat -c /usr/local/nginx_stream/filebeat-7.7.0-linux-x86_64/filebeat.yml run &

二、logstash配置

1、进入logstash-7.7.0/config,拷贝 “logstash-sample.conf” 为 logstash.yml,按照自己的要求进行修改,如下:

# Sample Logstash configuration for creating a simple
# Beats -> Logstash -> Elasticsearch pipeline.

input {
  beats {
    port => 5044
  }
}

filter {
  grok {
    match => [
      "message", "\[%{HTTPDATE:dt}\]\s%{GREEDYDATA:jsondata}"
    ]
  }

  mutate {
    gsub => ["jsondata", "[\\]", ""]
    #gsub => ["jsondata", "[\"]", ""]

    remove_field => ["host"]
    remove_field => ["tags"]
    remove_field => ["agent"]
    remove_field => ["ecs"]
    remove_field => ["@version"]
    remove_field => ["input"]
    remove_field => ["log"]
  }
  
  split {
    field => "jsondata"
    terminator => "#"
  }

  json {
    source => "jsondata"
  }
}

output {
  stdout {
  }

  elasticsearch {
    hosts => ["192.168.1.227:9200"]
    index => "testlog-%{+YYYY.MM.dd}"
  }
}

具体含义后面再解释,最后输出到elasticsearch。

三、启动

启动命令如下:

nginx:

/usr/local/nginx_stream/nginx/sbin/nginx

filebeat:

/usr/local/nginx_stream/filebeat-7.7.0-linux-x86_64/filebeat -c /usr/local/nginx_stream/filebeat-7.7.0-linux-x86_64/filebeat.yml run &

logstash:

/usr/local/nginx_stream/logstash-7.7.0/bin/logstash -f /usr/local/nginx_stream/logstash-7.7.0/config/logstash.conf &

四、测试

使用postman向nginx发送带有数据的请求,在es中就可以看到日志已经在es中显示了

body中的数据个数如下:

#{"a": "im ll 中文", "b": "aaaaaaaa"}#{"a":"im ll 英文", "b":"bbbbbbbbbbb"}

几秒钟后看到elasticsearch中有如下数据代码成功了:
在这里插入图片描述

最后,参考的链接发在下面:

整体配置下来坑不是很多,还是比较顺利的

1、logstash关于反斜杠的替换,启动时总是报以下错误:

[2020-05-27T06:11:26,062][ERROR][logstash.agent           ] Failed to execute action {:action=>LogStash::PipelineAction::Create/pipeline_id:main, :exception=>"LogStash::ConfigurationError", :message=>"Expected one of [ \\t\\r\\n], \"#\", \"{\", \",\", \"]\" at line 18, column 33 (byte 294) after filter {\n  grok {\n    match => [\n      \"message\", \"\\[%{HTTPDATE:dt}\\]\\s%{GREEDYDATA:jsondata}\"\n    ]\n  }\n\n  mutate {\n    gsub => [\"jsondata\", \"\\\\\", \"", :backtrace=>["/usr/local/nginx_stream/logstash-7.7.0/logstash-core/lib/logstash/compiler.rb:58:in `compile_imperative'", "/usr/local/nginx_stream/logstash-7.7.0/logstash-core/lib/logstash/compiler.rb:66:in `compile_graph'", "/usr/local/nginx_stream/logstash-7.7.0/logstash-core/lib/logstash/compiler.rb:28:in `block in compile_sources'", "org/jruby/RubyArray.java:2577:in `map'", "/usr/local/nginx_stream/logstash-7.7.0/logstash-core/lib/logstash/compiler.rb:27:in `compile_sources'", "org/logstash/execution/AbstractPipelineExt.java:181:in `initialize'", "org/logstash/execution/JavaBasePipelineExt.java:67:in `initialize'", "/usr/local/nginx_stream/logstash-7.7.0/logstash-core/lib/logstash/java_pipeline.rb:43:in `initialize'", "/usr/local/nginx_stream/logstash-7.7.0/logstash-core/lib/logstash/pipeline_action/create.rb:52:in `execute'", "/usr/local/nginx_stream/logstash-7.7.0/logstash-core/lib/logstash/agent.rb:342:in `block in converge_state'"]}

后来查到了这篇帖子解决:
https://blog.csdn.net/ycf8788/article/details/79265930

2、其他参考链接如下:
filebeat官网文档
logstash官网下载地址
logstash官网文档
grok调试工具
ELK Stack 中文指南

zhangshujun19810223
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ELK集群的部署、使用以及备份与版本升级.pdf
07-28
为了更好地利用ELK进行日志分析,通常会将Nginx日志格式转换为JSON,因为JSON格式便于解析和处理。Logstash可以通过配置输入插件读取Nginx日志,使用grok filter解析成JSON格式,然后输出到Elasticsearch。 **八、...
Python-NginxApacheIIS日志分析自动生成Excel报表
08-10
此外,可能还会用到如logstash、ELKElasticsearch、Logstash、Kibana)栈等工具,它们可以实现更复杂、更实时的日志收集和分析。 从压缩包子文件的文件名称"pengzuyun-logParse-cc8551f"来看,这可能是一个名为...
采集Nginx日志的4种方法分享
hdxx2022的博客
02-14 607
接下来配置filebeat在filebeat的安装目录找到filebeat.yml 配置获取日志文件的路径及输出到logstash的配置。不直接输出到ES了。在送到ES在很多情况下你需要采集的web服务器并不是自己能够控制的,不是说你想装filebeat就可以让你装的,这时候就可以要求目标数据源通过 syslog 的方式将日志发出来。通过syslog往日志服务器上发nginx日志有两种方式,一种就是利用nginx的配置往外发日志,一种就是通过配置linux的rsyslog的配置往外发日志
虚拟机上部署elk相关备忘录
obj_668793的博客
07-18 434
在虚拟机中安装了CentOS7,用此当做服务器练习elk。 从官网下载elk相关的压缩包,我下载的是6.8.0版本。 我在home目录下新增elksofts文件夹,下载好的压缩包全都放在此文件下,然后解压缩文件。 启动elasticsearch可能会遇到的错误: 1,首先要新增一个用户,因为如果是直接解压后,不做任何配置,在root用户下启动是会报错的,报错信息大致如下: ---------------- [root@localhost bin]# ./elasticsearch warni
logstash 部署时报错及解决方法:
weixin_48278764的博客
09-12 3565
logstash 部署时报错及解决方法: 问题一: [logstash.agent ] Failed to execute action {:action=>LogStash::PipelineAction::Create/pipeline_id:main, :exception=>"LogStash::ConfigurationError", :message=>"Expected one of [ \\t\\r\\n], \"#\", \"=>\" at li
使用Filebeat采集json日志未能成功解析的问题以及其他踩过的坑
strggle_bin的博客
12-03 3241
每行日志被整个入到了ES索引中的一个message字段,而不是按照json解析后的字段入库 解决方案:这个问题的原因是因为json日志中只要有filebeat无法解析的格式,就会把整条记录当做一个字符串处理,入库到一个message字段,我是日志中有Windows下的路径,反斜杠和后面的字母被当做了转义字符无法识别,所以记录被截断导致解析失败。如果不是需要解析嵌套json对象的话,也不用配置什么processors,别搞复杂了! Filebeat日志中报 “Error decoding JSON: EOF.
记docker部署logstash的一次报错
weixin_45014413的博客
08-01 1445
仔细检查自己的配置文件,到底是没错啊,怎么就会报配置错误呢,于是,按照日志信息的提示区配置文件的相应位置找问题,最终发现每个配置项的后面几乎都多了好几个空格,说多了都是泪啊😭😭😭。最终把多余的空格去掉后启动成功。............
一个可供中小团队参考的微服务架构技术栈
01-27
【微服务架构技术栈概述】 微服务架构已成为现代软件开发的主流模式,尤其在Spring Cloud的推动下,它在国内开发者中备受关注。然而,Spring Cloud的一些组件,如Spring Cloud Config和Spring Cloud Sleuth,虽然由...
掌握日志分析的艺术:在Linux上使用ELK Stack的实战指南
最新发布
07-14
3. **Web开发**:使用Linux作为服务器操作系统进行Web开发,包括后端服务的搭建和维护,如使用LAMP(Linux, Apache, MySQL, PHP)或LEMP(Linux, Nginx, MySQL, PHP/Python/Perl)等技术栈。 4. **数据库开发**:在...
logstash索引迁移报错的问题解决
ZHANGHUI3239619的专栏
05-12 795
首先logstash的目录有空格可能也会有错误 Failed to execute action {:action=>LogStash::PipelineAction::Create/pipeline_id:main, :exception=>"LogStash::ConfigurationError", :message=>"Expected one of #, input, filter, output at line 1, column 1 (byte 1)", :backtra
logstash通过conf启动失败
Quentin__的博客
07-24 3386
首先logstash的目录有空格可能也会有错误 Failed to execute action {:action=>LogStash::PipelineAction::Create/pipeline_id:main, :exception=>"LogStash::ConfigurationError", :message=>"Expected one of #, input,...
logstash 出现的问题
热门推荐
为一个人走几座城
05-26 2万+
[FATAL][logstash.runner          ] An unexpected error occurred! {:error=>#<NoMethodError: undefined method `[]' for nil:NilClass>, :backtrace=>["/export/servers/logstash-6.2.2/vendor/bund...
微服务ELK分布式日志logstash7.15.1读取文件并写入elasticsearch7.5.1(基本配置)
liaomingwu的专栏
02-19 2522
微服务ELK分布式日志logstash7.15.1读取文件并写入elasticsearch7.5.1(基本配置)
Linux——EFK日志收集Nginx
weixin_45191791的博客
08-03 1541
EFK日志收集 环境 解释 支持环境 Elasticsearch 数据库,存储数据 java logstash 日志收集,过滤数据 java kibana 分析,过滤,展示 java filebeat: 收集日志,传输到ES或logstash 环境 PS:可以多台主机搭建,也可在一台主机上搭建,根据自己实力部署! 主机IP 主机名 192.168.1.19 EFK **资源下载地址:**https://mirrors.tuna.tsinghua.e
Logstash 7.4配置转发器报错提示:“[ERROR][logstash.agent] Failed to execute ction {:action=>LogStash::Pipel”原因
weixin_43236191的博客
10-23 5362
Logstash 7.4转发器的配置启动报错的解决过程 经过修改配置文件,执行以下命令启动服务 nohup bin/logstash -f config/kafka_os_into_es.conf & ----->通过nohup命令将服务启动的进程放到后台并输出到日志 输出的日志是以nohub.out结尾的日志 可以通过tail ...
Linux部署ELK日志搜集教程
dubbo
07-31 2578
一、使用背景   目前项目中,采用的是微服务框架,对于日志,采用的是logback的配置,每个微服务的日志,都是通过File的方式存储在部署的机器上,但是由于日志比较分散,想要检查各个微服务是否有报错信息,需要挨个服务去排查,比较麻烦。所以希望通过对日志进行聚合,然后通过监控,能够快速的找到各个微服务的报错信息,快速的排查。 二、ELK分析   对于ELK,主要是分为Elastic Sear...
filebeat + ELK日志分析 配置 logstash 做正则匹配处理message 时间的读取 时区处理 反斜杠 ip 处理
浮生若梦
09-20 2025
利用 Filebeat去读取日志发送到 Logstash ,再由 Logstash 处理后发送给 Elasticsearch 。 一、Filebeat 项目日志文件: 利用 Filebeat 去读取文件,paths 下面配置路径地址,Filebeat 会自动去读取 /data/share/business_log/TA-*/debug.log 文件 #===================...
ELK技术栈中文指南:日志分析与实战
"ELK-guide-cn.pdf" 是一份关于ELK(由Elasticsearch、Logstash和Kibana组成的开源日志分析栈)的中文指南,涵盖了从基础到进阶的多个方面,包括Logstash的配置和使用,Elasticsearch的架构原理及性能优化。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值