2. 程式人生 > 實用技巧 >通過filebeat的module蒐集nginx日誌

通過filebeat的module蒐集nginx日誌

阿新 發佈:2020-07-10

NGINX日誌格式

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$http_x_forwarded_for" '
                    '"$request_body" "$upstream_addr" "$uri" "$upstream_response_time" "$upstream_http_name" "$upstream_http_host" "$request_time" 
 
';

安裝filebeat

啟用nginx module

filebeat modules enable nginx

配置NGINX訪問日誌路徑

- module: nginx
  # Access logs
  access:
    enabled: true

    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    var.paths: ["/var/log/nginx/*.access.log"]

/etc/filebeat/modules.d/nginx.yml

配置ES地址並修改index名稱

/etc/filebeat/filebeat.yml

#==================== Elasticsearch template setting ==========================

setup.template.settings:
  index.number_of_shards: 1
  #index.codec: best_compression
  #_source.enabled: false
setup.ilm.enabled: false
setup.template.name: "filebeat-nginx"
setup.template.pattern: 
 
"filebeat-nginx-*"

#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["192.168.160.34:9200"]
  index: "filebeat-nginx-%{[agent.version]}-%{+yyyy.MM.dd}"

  # Optional protocol and basic auth credentials.
  #protocol: "https"
  username: "elastic"
  password: "pass"

修改日誌的預設匹配規則

/usr/share/filebeat/module/nginx/access/ingest/default.json

新增upstream_addr、upstream_url、upstream_response_time、request_time等欄位

"grok": {
    "field": "message",
    "patterns": [
        "\"?(?:%{IP_LIST:nginx.access.remote_ip_list}|%{DATA:source.address}) - %{DATA:user.name} \\[%{HTTPDATE:nginx.access.time}\\] \"%{DATA:nginx.access.info}\" %{NUMBER:http.response.status_code:long} %{NUMBER:http.response.body.bytes:long} \"%{DATA:http.request.referrer}\" \"%{DATA:user_agent.original}\" \"%{URIHOST:nginx.access.upstream_addr}\" \"%{DATA:nginx.access.upstream_url}\" \"%{NUMBER:nginx.access.upstream_response_time:float}\" \"-\" \"-\" \"%{NUMBER:nginx.access.request_time:float}\""
    ],
    "pattern_definitions": {
        "IP_LIST": "%{IP}(\"?,?\\s*%{IP})*"
    },
    "ignore_missing": true
            }
},

修改fields欄位

/etc/filebeat/fields.yml

新增upstream_addr、upstream_url、upstream_response_time、request_time等欄位

- name: agent
  type: alias
  path: user_agent.original
  migration: true
- name: upstream_response_time
  type: alias
  path: upstream_response_time
  migration: true
- name: upstream_addr
  type: alias
  path: upstream_addr
  migration: true
- name: upstream_url
  type: alias
  path: upstream_url
  migration: true
- name: request_time
  type: alias
  path: request_time
  migration: true

欄位出來以後有黃色小三角,重新整理一下index 的欄位快取就好了

參考:https://www.iamle.com/archives/2610.html

https://elasticsearch.cn/question/4580

相關推薦

通過filebeat的module蒐集nginx日誌

NGINX日誌格式 log_format main \'$remote_addr - $remote_user [$time_local] \"$request\" \' \'$status $body_bytes_sent \"$http_referer\" \'

簡單總結把nginx日誌通過logstash輸入到oracle的方法

1. 首先配置nginx日誌,需要配置成json日誌,這個方法不在這裡介紹,網上很多,我提供一個format引數大家參考。

通過helm部署EFK收集應用日誌,ingress-nginx日誌解析。

前段時間看了馬哥的k8s新書,最後幾章講了下EFK,嘗試部署了下,很多問題, 這裡改進下,寫個筆記記錄下吧。

python實現的分析並統計nginx日誌資料功能示例

本文例項講述了python實現的分析並統計nginx日誌資料功能。分享給大家供大家參考,具體如下:

淺析python 定時拆分備份 nginx 日誌的方法

一、背景: nginx 的log 不會自動按天備份,而且記錄時間格式不統一,此程式專門解決這兩個問題;

spark通過kafka-appender指定日誌輸出到kafka引發的死鎖問題

在採用log4j的kafka-appender收集spark任務執行日誌時,發現提交到yarn上的任務始終ACCEPTED狀態,無法進入RUNNING狀態,並且會重試兩次後超時。期初認為是yarn資源不足導致,但在確認yarn資源充裕的時候問題依舊,而

Nginx】如何按日期分割Nginx日誌?看這一篇就夠了!!

寫在前面 Nginx是沒有以日期格式作為檔名來儲存的,也就是說,Nginx不像Tomcat,每天自動生成一個日誌檔案,所有的日誌都是以一個名字來儲存,時間久了日誌檔案會變得很大。這樣非常不利於分析。雖然nginx沒有這個功

nginx 日誌管理配置詳解

nginx日誌管理 log_formatmain\'$remote_addr - $remote_user [$time_local] "$request" \'

Nginx】如何配置Nginx日誌?這是最全面的一篇了!!

寫在前面 日誌對於統計排錯來說非常有利的。本文總結了 Nginx 日誌相關的配置如 access_log、log_format、open_log_file_cache、 log_not_found、 log_subrequest、rewrite_log、 error_log。

centos7環境下shell指令碼對nginx日誌過濾實現惡意ip的封堵

centos7環境下shell指令碼對nginx日誌過濾實現惡意ip的封堵1.編寫監控nginx日誌指令碼

nginx 日誌功能詳解

nginx 日誌功能 在 nginx 中有兩種日誌: access_log:訪問日誌通過訪問日誌可以獲取使用者的IP、請求處理的時間、瀏覽器資訊等

nginx 日誌按照日期分割

nginx 日誌檔案分割 nginx web 伺服器中 access 日誌,預設是不能按時間分隔的,每次日誌都是打在access.log上,這樣久而久之這個日誌檔案就特別的大,也不利於清理和管理,故此我們肯定是需要做時間上的切割的,那麼

centos7搭建nginx日誌

centos7搭建nginx日誌的步驟 配置 yum 源為網路 yum   新增 nginx 的網路地址到 yum 源(對應下面安裝過程中的第 7 步)

Nginx 日誌切割-定時(附資料庫資料備份)

Nginx 日誌切割-定時 使用定時任務 安裝定時任務: yum install crontabs crontab -e編輯並且新增一行新的任務:

Mac 通過docker搭建ELK日誌收集系統

一、解決docker拉取映象慢的問題   前提是我們的mac安裝好了docker,並且可以正常啟動關閉。但是當我們對映象進行拉取的時候,會發現速度非常的慢,停在下面這個介面很久也不動。

centos7-nginx 日誌手動或定時清理

目錄一、手動清理nginx日誌方式二、nginx日誌定時清理方式新增可執行許可權新增Linux計劃任務重啟crond服務

python指令碼分析nginx日誌1000條IP超過100次自動封 IP

最近有一些人或者網站總是喜歡爬取別人家網站內容,於是就想到利用python 指令碼分析nginx日誌1000條,

Nginx日誌回滾

Nginx不像Apache那樣自帶rotatelogs進行日誌的回滾,預設配置的日誌檔案會越來越大造成無法閱讀,必須手動為Nginx配置日誌回滾的方式。可以使用自定義指令碼或是藉助Linux自帶的logrotate命令實現日誌回滾。

nginx-日誌切割

nginx-日誌切割 指令碼 ]# vim /scripts/nginx_log_split.sh #!/usr/bin/env bash # Author: wanwz # Date: 2020-08-03

收集Nginx日誌

1.安裝Nginx [root@web01 ~]# yum install -y nginx 2.配置Nginx日誌格式 [root@web01 ~]# vim /etc/nginx/nginx.conf