2. 程式人生 > >ELK logstash geoip值為空故障排查

ELK logstash geoip值為空故障排查

阿新 發佈:2018-11-22

首先我們用的是elasticsearch+kibana+logstash+filebeat

客戶端filebeat收集日誌後經過服務端logstash規則處理後儲存到elasticsearch中,在kibana中展示。

以nginx日誌為例

1.我遇到的問題是,logstash中filter的規則似乎未生效,kibana中新建索引總是沒有geoip引數

logstash配置檔案如下

input {
beats{
port => 5044
codec => json {
charset => "UTF-8"
}
}
}

filter{
grok {
match => {"message" => '%{DATA:http_x_forwarded_for} - %{DATA:remote_user} \[%{HTTPDATE:time_local}\] "%{DATA:request_uri}"%{NUMBER:status:int} %{NUMBER:body_bytes_sent:int} %{DATA:http_referer} "%{DATA:http_user_agent}"'}
}
if "63nginx_access" in [tags] {
json{
source => "message"
}
if [user_ua] != "-" {
useragent {
target => "agent" #agent將過來出的user agent的資訊配置到了單獨的欄位中
source => "user_ua" #這個表示對message裡面的哪個欄位進行分析
}
}
if [http_x_forwarded_for] != "-" {
geoip {
source => "http_x_forwarded_for"
target => "geoip"
add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
}
mutate {
convert => [ "[geoip][coordinates]", "float"]
}
}
}
}

output {
if[type] == "63nginx_access"{
elasticsearch {
hosts => ["127.0.0.1:9200"]
index => "logstash_63nginx_access.%{+YYYY.MM.dd}"
}
}

1.1 建立logstash測試檔案用來除錯  vim logstash.test.conf

input {
stdin {}
}


filter {
grok {
match => {"message" => '%{DATA:http_x_forwarded_for} - %{DATA:remote_user} \[%{HTTPDATE:time_local}\] "%{DATA:request_uri}"%{NUMBER:status:int} %{NUMBER:body_bytes_sent:int} %{DATA:http_referer} "%{DATA:http_user_agent}"'}
}


if [http_x_forwarded_for] != '-'{
geoip {
source => "http_x_forwarded_for"
target => "geoip"
add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
}
}

}

output {
stdout {
codec => rubydebug
}
}

啟動logstash

./bin/logstash -f   logstash.test.conf

啟動後貼上一行nginx的日誌

geoip為空,因為我們nginx的http_x_forwarded_for獲取到兩個ip,接著我用單ip測試,一定要是公網ip(內網ip在規則中被過濾了)

啟動logstash

./bin/logstash -f   logstash.test.conf

輸入

211.154.222.21 - - [26/Oct/2018:15:07:20 +0800] "GET /pp/index.php?/categories/posted-monthly-list-any-any/start-111210 HTTP/1.0"200 21761  "-""Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"

顯然這樣就獲取到geoip的資訊了,接著需要調整下nginx日誌了

 

相關推薦

ELK logstash geoip故障排查

首先我們用的是elasticsearch+kibana+logstash+filebeat 客戶端filebeat收集日誌後經過服務端logstash規則處理後儲存到elasticsearch中,在kibana中展示。 以nginx日誌為例 1.我遇到的問題是,logstash中filter的規則似乎未

MVC繞過登陸界面驗證時HttpContext.Current.User.Identity.Name取問題解決方法

isnull auth asa ren lob obj req ret 方法 Global.asax界面添加如下方法: void FormsAuthentication_Authenticate(object sender, FormsAuthenticationEven

關於springboot項目中自動註入,但是用的時候的BUG

cte 沒有 根目錄 原因 框架 初始化 工具 如果 config 最近想做一些web項目來填充下業余時間,首先想到了使用springboot框架,畢竟方便 快捷 首先:去這裏 http://start.spring.io/ 直接構建了一個springboot初始化的項目

C#註冊表項及測試

lin 判斷 class sys foreach name object gis for 1 static void Main(string[] args) 2 { 3 //不能以 \ 開頭,否則返回null

ayer.prompt 怎樣讓輸入也可以向下執行

字數 value tips title 方案 layer func fly () http://fly.layui.com/jie/4227/ layer.prompt({title: ‘輸入任何口令,並確認‘,formType: 1, //prompt風格,支持0-2

spring boot加mybatis使用Map返回時,當時屬性也會沒有(轉)

call pri per n-n spring fig setter 解決 strong 使用spring boot加mybatis時,設置Map返回,當值為空時屬性也會沒有,就會報錯 在application.properties中加入下面配置,將會解決這個問題。

ajax異步傳輸數據,return返回

fin 問題 type UNC html ces ++ AR http 今天在項目中遇到了一個問題,就是在定義了一個函數drawHtml(),本意是想在函數運行結束後,返回拼接的字符串,可是函數運行結束後始終返回的是undefined 有BIG的代碼: function

springboot @Value獲取,解決辦法

rtp spring val 內容 log long value cati 必須 在spring中,常常使用 @Value("${property}") 從application.properties中取值,需要註意兩點 使用 @Value 的類不能使用 new 關鍵字進

request.getInputStream()取的問題

今天在專案中獲取request的請求資料為空,消耗了一天的時間 百度了兩篇文章解決了這個問題:原因 解決方案 闡述下問題: 專案是記錄請求資料及響應資料,但在獲取請求資料時使用request.getInputStream()為空,而使用 Enumeration en

使用者沒有輸入(前臺傳時)的資料儲存原則

已知: 1、數值型資料可能會涉及到數學運算。 2、數值型別和日期時間型別,當儲存為空值‘’時,sqlserver會分別按預設值儲存(0、1900-01-01 00:00:00.000) 結論:暫時,先將前臺傳值為null或空值時,統一處理成空值‘’傳輸到後臺並儲存;但是應該注意將預設值按空值

過濾物件屬性的屬性

一般介面允許傳參為空的話,就不需要用 let trans = { a:22, b:'' }; let pam = {} for(let i in trans){ if(trans[i]){

SpringMVC統一轉換null字串的方法 !

  在SpringMVC中,可以通過在<mvc:annotation-driven>中配置<mvc:message-converters>,把null值統一轉換為空字串,解決這個問題。下面以JSon互動的方式為例說明如何實現: 第一步:建立一個Objec

Mybatis傳需要配置JdbcType來解決嗎?(XML檔案不需要配置JdbcType)

1,解決思路,配置自定義的語言驅動,重寫自己的Paramethander   1 package cn.com.servyou.gxdqy.tool.xmlhelper; 2 3 import org.apache.ibatis.executor.parameter.Param

解決mysql contact 的問題

#問題描述: 省份城市區域欄位有空值,contact 合併為一個值匯出,有空值存在. 問題解決: DB::raw('CONCAT(IFNULL(service_province,""),IFNULL(service_city,""),IFNULL(service_district,

proto3欄位時被忽略問題

問題 message GetRes { bool is_abc = 1; } 當 is_abc 值為false時,直接輸出response無法顯示 is_abc 這個欄位。在編譯出來的pb.go(我用的go語言)檔案中可以看到這個欄位後面帶有 omitempty 屬性,也就是

json資料處理(如果name其它,如果陣列長度大於15,超出15的部分歸其它)

adata = {"resolution":{"540x960":3,"1080x1920":4,"1080x2160":2,"720x1080":1}, "brand":{"":10}, "versio

json物件中遇到屬性的情況

樓主從前端獲取的json陣列物件是這樣的 [{"id":"12","name":"sdf","areaId":"213"},{"id":"","name":"sdf","areaId":"13"}] 然後樓主是用net.sf.json.JSONObjec的ge

axios互動post方式 後臺取

文章目錄 問題場景 問題原因 要點1 要點2 問題分析 解決方案 解決方案一 解決方案二 解決方案三 解決方案四 解決方案五 解決方案六 問題場景 場景很簡單,就是一個正常 axios post 請求: axios({     headers: {

Qt中SQL語句update同時更新多欄位及設定欄位的方法

Qt中往往需要對資料庫進行操作,常出現根據某變數更改相關欄位的內容。一般地,可以採用名稱繫結和位置繫結兩種方法。 本文以update舉例,其他insert等語句操作類似。 方法一:名稱繫結 已知:定義Qstring型別變數a b c d e f g h。

request.getParameter()取的問題

今天做jsp頁面時,遇到錯誤java.lang.NumberFormatException: null 查了一下問題發現是: parseInt轉換會觸發NumberFormatException異常。 int id=Integer.parseInt(reques