2. 程式人生 > 其它 >使用filebeat解析nginx的json格式日誌,並且儲存原始message欄位的值,輸出到es中並通過grafana圖形化顯示

使用filebeat解析nginx的json格式日誌,並且儲存原始message欄位的值,輸出到es中並通過grafana圖形化顯示

阿新 發佈:2021-11-09

1.nginx日誌調成json樣式

log_format json '{"@timestamp":"$time_iso8601",'
                '"server_addr":"$server_addr",'
                '"server_name":"$server_name",'
                '"server_port":"$server_port",'
                '"server_protocol":"$server_protocol",'
                '"client_ip":"$remote_addr",'
                '"client_user":"$remote_user",'
                '"status":"$status",'
                '"request_method": "$request_method",'
                '"request_length":"$request_length",'
                '"request_time":"$request_time",'
                '"request_url":"$request_uri",'
                '"request_line":"$request",'
                '"send_client_size":"$bytes_sent",'
                '"send_client_body_size":"$body_bytes_sent",'
                '"proxy_protocol_addr":"$proxy_protocol_addr",'
                '"proxy_add_x_forward":"$proxy_add_x_forwarded_for",'
                '"proxy_port":"$proxy_port",'
                '"proxy_host":"$proxy_host",'
                '"upstream_host":"$upstream_addr",'
                '"upstream_status":"$upstream_status",'
                '"upstream_cache_status":"$upstream_cache_status",'
                '"upstream_connect_time":"$upstream_connect_time",'
                '"upstream_response_time":"$upstream_response_time",'
                '"upstream_header_time":"$upstream_header_time",'
                '"upstream_cookie_name":"$upstream_cookie_name",'
                '"upstream_response_length":"$upstream_response_length",'
                '"upstream_bytes_received":"$upstream_bytes_received",'
                '"upstream_bytes_sent":"$upstream_bytes_sent",'
                '"http_host":"$host",'
                '"http_cookie":"$http_cooke",'
                '"http_user_agent":"$http_user_agent",'
                '"http_origin":"$http_origin",'
                '"http_upgrade":"$http_upgrade",'
                '"http_referer":"$http_referer",'
                '"http_x_forward":"$http_x_forwarded_for",'
                '"http_x_forwarded_proto":"$http_x_forwarded_proto",'
                '"https":"$https",'
                '"http_scheme":"$scheme",'
                '"invalid_referer":"$invalid_referer",'
                '"gzip_ratio":"$gzip_ratio",'
                '"realpath_root":"$realpath_root",'
                '"document_root":"$document_root",'
                '"is_args":"$is_args",'
                '"args":"$args",'
                '"connection_requests":"$connection_requests",'
                '"connection_number":"$connection",'
                '"ssl_protocol":"$ssl_protocol",'
                '"ssl_cipher":"$ssl_cipher"}';

凡是需要使用nginx日誌的均採用如下寫法:

# 事前建立儲存nginx日誌的資料夾
# mkdir -p /var/log/nginx/

access_log /var/log/nginx/test.access.log json;

2.使用filebeat收集nginx的日誌

注意:這裡不採用自帶的模組形式,也就是不開啟nginx的module收集功能

注意:方式1和方式2的其他配置都相同,這裡只列出不同的地方,後面會具體分析這倆不同的配置有啥不同的效果

設定方式1

- type: log
  enabled: true
  paths:
    - /var/log/nginx/test.access.log
  fields:
    log_source: nginx
    log_type: www
  fields_under_root: true
  tags: ["nginx"]
  json:
    keys_under_root: true
    overwrite_keys: true
    message_key: "message"
    add_error_key: true

使用方式1的設定後,nginx的日誌就會輸出到es中,且日誌中的每個鍵值對就是頂級欄位,如下圖所示

但是有一個問題,原有message欄位的值是空的,導致在kibana日誌導航中無法顯示ngixn的日誌(具體是access日誌,error日誌因為還是原來的設定仍會顯示).

這種設定在grafana中會正常顯示資料出來的。

設定方式2

- type: log
  enabled: true
  paths:
    - /var/log/nginx/test.access.log
  fields:
    log_source: nginx
    log_type: www
  fields_under_root: true
  tags: ["nginx"]

processors:
  - add_host_metadata:
      when.not.contains.tags: forwarded
  - decode_json_fields:
      fields: ['message']
      target: "" 
      overwrite_keys: false 
      process_array: false 
      max_depth: 1

使用方式2的設定後,nginx的日誌就會輸出到es中,且日誌中的每個鍵值對就是頂級欄位,並且原有message欄位的值仍存在,在kibana日誌導航中還可以繼續顯示ngixn的日誌(具體是access日誌,error日誌因為還是原來的設定仍會顯示).

這種設定在grafana中會正常顯示資料出來的。

綜合方式1和方式2,方式2的方式是符合需求的,既能繼續查詢日誌,還能把日誌資訊圖形化顯示出來(不使用自帶的nginx module收集方式)

3.es中設定索引模式

filebeat-*

4.grafana中新增dashboard

開啟 Grafana 頁面,登入後,在 Data Sources 新增型別為 Elasticsearch 的資料來源
在 HTTP 段,把 es 機器的IP地址和埠填寫到 URL 輸入框中,比如: http://localhost:9200,訪問有密碼的話需要加上密碼
在 Elasticsearch details 段
把上面 filebeat 配置的nginx索引名稱填寫到 Index name 輸入框中,比如: filebeat-*
Version 選擇 7.0+
儲存測試

匯入Dashboard,ID: 14913

6.上述方式1和方式2的欄位含義

方式1
json 這些選項使得Filebeat將日誌作為JSON訊息來解析。例如:

json.keys_under_root: true
json.add_error_key: true
json.message_key: log

為了啟用JSON解析模式,你必須至少指定下列設定項中的一個:
keys_under_root: 預設情況下,解碼後的JSON被放置在一個以"json"為key的輸出文件中。如果你啟用這個設定,那麼這個key在文件中被複製為頂級。預設是false。
overwrite_keys: 如果keys_under_root被啟用,那麼在key衝突的情況下,解碼後的JSON物件將覆蓋Filebeat正常的欄位
add_error_key: 如果啟用,則當JSON反編排出現錯誤的時候Filebeat新增 "error.message" 和 "error.type: json"兩個key,或者當沒有使用message_key的時候。
message_key: 一個可選的配置,用於在應用行過濾和多行設定的時候指定一個JSON key。指定的這個key必須在JSON物件中是頂級的,而且其關聯的值必須是一個字串,否則沒有過濾或者多行聚集傳送。
ignore_decoding_error: 一個可選的配置,用於指定是否JSON解碼錯誤應該被記錄到日誌中。如果設為true,錯誤將被記錄。預設是false。

方式2

用filebeat想對收集到的日誌進行這樣的解析:如果為json的話,就將json物件中的每個子欄位解析成頂級結構下的一個欄位,但是發現,解析後,儲存日誌完整內容的message欄位(也即完整的json串)消失了,最終找到如下解決方法:
用processors中的decode_json_fields處理器進行處理,它類似logstash中的filter,具體格式如下:

processors:
  - add_host_metadata:
      when.not.contains.tags: forwarded
  - decode_json_fields:
      fields: ['message'] #要進行解析的欄位
      target: ""  #json內容解析到指定的欄位,如果為空(""),則解析到頂級結構下
      overwrite_keys: false #如果解析出的json結構中某個欄位在原始的event(在filebeat中傳輸的一條資料為一個event)中也存在,是否覆蓋event中該欄位的值,預設值:false
      process_array: false  #陣列是否解碼,預設值:false
      max_depth: 1 #解碼深度,預設值:1

相關推薦

使用filebeat解析nginx的json格式日誌並且儲存原始message,輸出es通過grafana圖形顯示

1.nginx日誌調成json樣式 log_format json \'{\"@timestamp\":\"$time_iso8601\",\' \'\"server_addr\":\"$server_addr\",\'

MySQL書寫一個儲存過程修改指定表某個如果相等就進行修改

需求:   比如有一個表attr_name類目名稱如果相同並且attr_name_chinese類目中文名如果A條記錄存在B條記錄不存在那麼就通過記錄id將B與A記錄進行同步修改。

python實現解析markdown文件的圖片並且儲存到本地~

背景 前陣子簡書好像說是涼了搞得我有點小慌畢竟我的大部分部落格都是放在簡書上面的雖然簡書提供了打包匯出功能但是隻能匯出文字圖片的話還是存在簡書伺服器上面再加上我一直想要重新做一個個人部落格

springboot AOP 日誌註解 儲存 (2020-06-28 15:15)

接著上一篇上一篇將日誌輸出但是無法儲存下面針對日誌儲存進行說明本次使用註解模式進行日誌記錄只有注入對應的註解才可以儲存該方法的日誌

Python爬取中國大學排名並且儲存到excel

前言 以下文章來源於資料分析和Python作者岡阪日川 今天發的是python爬蟲爬取中國大學排名,並且儲存到excel中,當然這個程式碼很簡單我用了半小時就寫完了我的整體框架非常清晰可以直接拿去用也希望有

logstash如何讀取json格式日誌建立json定義好的索引

json格式一般是在apache或者nginx定義好的Log_format格式這個log_format就是json格式定義好以後在logstash配置檔案input file新增codec=>json就可以讀取

生成二維碼並且儲存指定位置的view成圖片並且儲存到本地相簿

效果圖; 儲存的圖片效果是:    儲存到本地的是整個檢視不只是單單的二維碼的圖片

elk蒐集日誌實現logstash根據message結構不同動態建立索引擴充套件功能區分messagejson和非json資料簡單方式

蒐集日誌,但是框架本身也會列印很多日誌是字串的。我們自己希望的日誌用json但是又需要json欄位可以擴充套件logstash收集日誌後都放在了message欄位中,我們自定義列印的是json串,spring列印的是string為此我

組合語言:計算data段的第一組資料的3次方結果儲存在後面一組的dword單元

技術標籤:彙編 文章目錄 計算立方的子程式整體程式執行結果 計算立方的子程式

JAVA面向物件學習——java集合———HashMap——HashMap 是一個散列表儲存的內容是鍵對(key-value)對映。 HashMap 實現了 Map 介面根據鍵的 HashCode 值儲存資料具有很快的訪問速度最多允許一條記錄的鍵為 null不支援執行緒同步。 HashMap 是無序的即不會記錄插入的順序。

HashMap 是一個散列表儲存的內容是鍵對(key-value)對映。 HashMap 實現了 Map 介面根據鍵的 HashCode 儲存資料具有很快的訪問速度最多允許一條記錄的鍵為 null不支援執行緒同步。

layui在odoo12上的應用用widget覆蓋原檢視

layui是一個前端框架提供了許多前端的元件等layui的詳情自己官網地址:https://www.layui.com/doc/去檢視

MyBatis 查詢結果自動封裝為map出現null而沒有

date: 2020-11-03 17:14:00 updated: 2020-11-03 17:40:00 MyBatis 查詢結果自動封裝為map出現null而沒有

設定 ON UPDATE CURRENT_TIMESTAMP僅當發生改變時才會更新記錄的時間

今天看到一個部落格說:時間戳有ON UPDATE CURRENT_TIMESTAMP屬性無論有沒有改變時間都會更新 。(下面是別人的部落格截圖)

TP查詢為空不為空

技術標籤:thinkphp thinkphp查詢為空和不為空清空 $where[\'name\'] = [\'exp\', \'is null\'];//為空的

fastjson取取出想要的新增給實體物件

技術標籤:springbootjavajson字串 fastjson確實很好用廢話不多說上程式碼: 我需要提取的json資料:需要獲取json的部分給實體物件存入資料庫。

pandas read_csv讀取資料時數字以文字方式讀取

技術標籤:Python學習筆記pythonpandas pandas 讀取csv文字時數字有以0開頭的讀取後0會被丟掉如下圖文字:以預設方式讀取如下:

mybaits批量插入sql沒有新加有就更新對應

技術標籤:mybatissql <insert id="insertBatchUpdate"parameterType="java.util.List">

【積累】MySQL觸發器:根據插入的某自動填寫另一儲存

技術標籤:MySQL學習 場景:根據使用者填寫的地區ID(SUBAREA_ID)自動填寫區域ID(SYSTEM_ID)

ORA-01861: 文字與格式字串不匹配,在Oracleinsert 日期:ORA-01861: 文字與格式字串不匹配

技術標籤:技術錯誤分析資料庫 錯誤:ORA-01861: 文字與格式字串不匹配 原因:

資料庫一個表的多個修改SQLupdate、replace

技術標籤:mysql資料庫sqlpostgresql 修改操作又稱為更新操作其語句一般格式為: UPDATE<表名> SET<列名>=<表示式>[,<列名>=<表示式>]… [WHERE<條件>];