ELK如何分析nginx access日志
admin
2023-03-25 00:01:19
0

注意:修改配置后建议重新创建index

1、nginx 日志文件格式

log_format elk "$http_clientip | $http_x_forwarded_for | $time_local | $request | $status | $body_bytes_sent | "
 "$request_body | $content_length | $http_referer | $http_user_agent | "
 "$http_cookie | $remote_addr | $hostname | $upstream_addr | $upstream_response_time | $request_time";

2、logstash nginx 服务器上的配置文件 agent.conf

input {  
        file {  
                type => "elk_frontend_access"  
                path => ["/data/logs/flight1-access_log"]  
        }
}  
filter {
ruby {
init => "@kname = ['http_clientip','http_x_forwarded_for','time_local','request','status','body_bytes_sent','request_body','content_length','http_referer','http_user_agent','http_cookie','remote_addr','hostname','upstream_addr','upstream_response_time','request_time']"
code => "new_event = LogStash::Event.new(Hash[@kname.zip(event.get('message').split('|'))])
new_event.remove('@timestamp')
event.append(new_event)"
}
if [request] {
ruby {
init => "@kname = ['method','uri','verb']"
code => "new_event = LogStash::Event.new(Hash[@kname.zip(event.get('request').split(' '))])
new_event.remove('@timestamp')
event.append(new_event)
"
}
if [uri] {
ruby {
init => "@kname = ['url_path','url_args']"
code => "new_event = LogStash::Event.new(Hash[@kname.zip(event.get('uri').split('?'))])
new_event.remove('@timestamp')
event.append(new_event)
"
}
kv {
prefix => "url_"
source => "url_args"
field_split => "& "
remove_field => [ "url_args","uri","request" ]
}
}
}
mutate {
convert => ["body_bytes_sent" , "integer", "content_length", "integer", "upstream_response_time", "float","request_time", "float"]
}
date {
match => [ "time_local", "dd/MMM/yyyy:hh:mm:ss Z" ]
locale => "en"
}
        grok {
        match => { "message" => "%{IP:clientip}" }
  }
        geoip 
{
        source => "clientip"
        }
}
output {
        redis {  
                host => "10.10.45.200"  
                data_type => "list"  
                key => "elk_frontend_access:redis"  
                port=>"5379"  
        }  
}

3、logstash elk服务器上的配置文件server.conf

input {  
        redis {  
                host => "10.10.45.200"  
                data_type => "list"  
                key => "elk_frontend_access:redis"  
                port =>"5379"  
        }  
}  
output {  
        elasticsearch {  
                hosts => "10.10.45.200:8200"  
                index => "logstash-zjzc-frontend-%{+YYYY.MM.dd}"  
        }  
        stdout {  
            codec => rubydebug  
        }  
}

注意:如果修改后没有生效,在kibana上重建索引。

上一篇:kickstart+TFTP+PXE+NFS+DHCP批量安装系统,raid

下一篇:分布式与集群的联系与区别

相关内容

热门资讯

内塔尼亚胡:美以对伊朗的军事行... △以色列总理内塔尼亚胡总台记者当地时间5月10日获悉,以色列总理内塔尼亚胡在接受采访时表示,美以对伊...
越南男子不慎卷入粉碎机身亡,监... 5月7日,越南嘉莱省一名工人作业时被乳胶粉碎机卷入不幸身亡。监控显示这名工人用工具将乳胶送入粉碎机,...
超20艘美国军舰参与封锁伊朗任... 新华社华盛顿5月10日电 美军中央司令部10日在社交媒体发文称,超过20艘美国军舰参与对伊朗实施封锁...
清华硕士参与智力测验仅得25分... 5月10日,一网友@是一颗努力的豆子 分享自己在硕士入学当月在三甲精神科参与瑞文智力测验仅得25分的...
胡锡进:武大急于撇清自己,情理... 说实话,我作为老媒体人和网上人,觉得武大不该这样回应。尽管我知道,在OPPO那个引发广泛指责的“母亲...
DeepSeek塞进苹果本儿,... 文 | 字母AI 在agent时代最贵的是什么?是token。 一些重度agent使用者,一个月用...
中美将于5月12日—13日举行... 有记者问:近期有消息称,中美双方将很快举行下一轮经贸磋商,请问商务部是否有最新消息?答:经中美双方商...
华为申请语音交互方法专利,提升... 国家知识产权局信息显示,华为技术有限公司申请一项名为“一种语音交互方法和电子设备”的专利,公开号CN...
事关俄乌冲突,普京释放重要信号 据中国新闻网援引塔斯社报道,当地时间5月9日,俄罗斯总统普京在记者会上表示,他既不会主动提出、也不会...
藏语大模型亮相北京科博会 弥合... 新华社北京5月10日电 题:藏语大模型亮相北京科博会 弥合AI时代“数字鸿沟” 新华社记者郭沛然 对...