ELK7.x日志系统搭建 2. Nginx、Cluster等日志收集

本文涉及的产品
检索分析服务 Elasticsearch 版,2核4GB开发者规格 1个月
日志服务 SLS,月写入数据量 50GB 1个月
简介: ELK7.x日志系统搭建 2. Nginx、Cluster等日志收集

ELK7.x日志系统搭建 2. Nginx、Cluster等日志收集

接着上篇文章,我们把环境搭建好后,我们需要对一些应用程序进行日志收集了,方便我们对整个项目的监控和管理。虽然这种东西在单节点项目上带来的好处比带来的成本要低的低,但是对于我们开发一些分布式的项目是有极大的便利的。

我们想象一个场景:为了高性能我们引入了负载均衡 + N个服务器副本,如果程序出现错误,我们首先得先定位到是哪台服务器,然后定位到哪个程序,最后查看对应日志,开始排错。这样中心化系统的好处就体现出来了。

我们接下来用前面的两个节点分别部署了 nginx,然后使用 logstash 收集信息到 es

Logstash说明

logstash 分为三个处理阶段,inputfilteroutput

特点:

  • 输入和输出可以是标准输入输出
  • 可以建立TCP或者UDP连接进行监听获取信息
  • 可以从rediskafka获取信息

在我们进行日志收集的时候,面对各种应用程序日志输出都需要输送到 ES 里面,但是日志文件的格式化输出方式却是各有千秋。那么这个时候我们收集日志只有两种处理方式:

  • 不修改源日志格式 简单的说就是在logstash中转通过 grok方式进行过滤处理,将原始无规则的日志转换为规则日志(Logstash自定义日志格式)

这样 Logstash 会通过 grok 来处理分析,对线上业务无任何影响;但是在高压环境下,Logstash 中的 grok 会成为性能瓶颈,最终会阻塞正常的日志输出,所以,在 Logsatsh 中,尽量不要使用 grok 过滤功能,这样就等于可以跳过 filter 阶段

  • 修改源日志格式 将需要的日志格式进行规则输出,logstash只负责日志的收集和传输,不对日志做任何过滤处理(生产者自定义日志格式)

这个就是在收集生产日志的过程中,自定义(format)日志格式,虽然有一定的工作量,但是优势很明显,因为是实现定义好了日志输出格式, logstash 那就只负责收集和传输了,这样大大减轻了 logstash 负担,可以更高效的收集和传输日志;是企业首选方案

我们的例子都以配置好的日志格式进行传输,有兴趣了解 grok 的去官网看看

收集多节点nginx日志

  • 配置nginx日志输出
##
# Log Format
##
log_format json '{"@timestamp":"$time_iso8601",'
                    '"@version":"1",'
                    '"client":"$remote_addr",'
                    '"url":"$uri",'
                    '"status":"$status",'
                    '"domain":"$host",'
                    '"host":"$server_addr",'
                    '"size":$body_bytes_sent,'
                    '"responsetime":$request_time,'
                    '"referer": "$http_referer",'
                    '"ua": "$http_user_agent"'
        '}';
##
# Logging Settings
##
access_log /var/log/nginx/access.log json;
error_log /var/log/nginx/error.log error;
  • 配置 logstash

vi ./conf.d/nginx-access.conf

input{
    file {
        path => "/var/log/nginx/access.log"
        type => "nginx-access-log"
        start_position => "beginning"
        stat_interval => "2"
        codec => "json" #  通用选项,用于输入数据的编解码器。 可以直接使用json做解码
    }
}
output{
   elasticsearch{
        hosts => ["192.168.179.124:9200"]        #elasticsearch服务器地址
        user => "elastic"
        password => "${ES_PWD}"
     index =>"nginx-access-log-%{+YYYY.MM.dd}.log"
   }
}
  • 测试配置文件

./bin/logstash -f conf.d/ -t

Sending Logstash logs to /home/test/logstash-7.6.0/logs which is now configured via log4j2.properties
[2020-06-26T09:19:40,683][WARN ][logstash.config.source.multilocal] Ignoring the 'pipelines.yml' file because modules or command line options are specified
[2020-06-26T09:19:43,158][INFO ][org.reflections.Reflections] Reflections took 55 ms to scan 1 urls, producing 20 keys and 40 values 
Configuration OK
[2020-06-26T09:19:49,466][INFO ][logstash.runner          ] Using config.test_and_exit mode. Config Validation Result: OK. Exiting Logstash

成功,可以启动了

收集es集群日志

我们把日志配置到了 /elk/logs 下面,可以看到, es 日志直接就是 json 版本的,就不需要我们进行 filter


  • 配置 logstash
input{
    file {
        path => "/elk/logs/elk-application_server.json"
        type => "elk-log"
        start_position => "beginning"
        stat_interval => "2"
        codec => "json"
    }
}
output{
   elasticsearch{
        hosts => ["192.168.179.124:9200"]        #elasticsearch服务器地址
        user => "elastic"
        password => "${ES_PWD}"
        index =>"elk-log-%{+YYYY.MM.dd}.log"
   }
}

两个节点,每个都安装了 nginx ,都编写了配置文件,我们需要在 kibana 上创建索引模式等等等,最后我们看一下效果

本来是准备全套收集一下日志,但是机器不允许, 本身 es 这套就比较费内存,加上机器上还有一些其他的,差点机器连 logstash 都跑不起来,所以更多姿势需要大家查阅一下官网或者其他文档资料哦。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
23天前
|
监控 应用服务中间件 定位技术
要统计Nginx的客户端IP,可以通过分析Nginx的访问日志文件来实现
要统计Nginx的客户端IP,可以通过分析Nginx的访问日志文件来实现
|
2月前
|
Kubernetes 监控 测试技术
k8s学习--基于Ingress-nginx实现灰度发布系统
k8s学习--基于Ingress-nginx实现灰度发布系统
131 2
k8s学习--基于Ingress-nginx实现灰度发布系统
|
4月前
|
应用服务中间件 nginx
nginx error日志 client intended to send too large body: 1434541 bytes 如何处理?
【8月更文挑战第27天】nginx error日志 client intended to send too large body: 1434541 bytes 如何处理?
387 6
|
4月前
|
应用服务中间件 Linux nginx
在Linux中,如何统计ip访问情况?分析 nginx 访问日志?如何找出访问页面数量在前十位的ip?
在Linux中,如何统计ip访问情况?分析 nginx 访问日志?如何找出访问页面数量在前十位的ip?
|
4月前
|
存储 监控 应用服务中间件
查看nginx日志文件
器性能和提高网站可用性。掌握日志文件的路径、查看方法和基本分析技能对于任何服务器管理员来说都是必备技能。
188 1
|
4月前
|
存储 消息中间件 监控
Java日志详解:日志级别,优先级、配置文件、常见日志管理系统ELK、日志收集分析
Java日志详解:日志级别,优先级、配置文件、常见日志管理系统、日志收集分析。日志级别从小到大的关系(优先级从低到高): ALL < TRACE < DEBUG < INFO < WARN < ERROR < FATAL < OFF 低级别的会输出高级别的信息,高级别的不会输出低级别的信息
|
3月前
|
存储 消息中间件 网络协议
日志平台-ELK实操系列(一)
日志平台-ELK实操系列(一)
|
1月前
|
存储 监控 安全
|
4月前
|
消息中间件 Kafka 开发工具
rsyslog+ELK收集Cisco日志
rsyslog+ELK收集Cisco日志
|
4月前
|
运维 监控 Ubuntu
一键启动日志魔法:揭秘ELK自动安装脚本的神秘面纱!
【8月更文挑战第9天】在数据驱动时代,高效处理日志至关重要。ELK Stack(Elasticsearch、Logstash、Kibana)是强大的日志分析工具,但其复杂的安装配置常让初学者望而却步。本文介绍如何编写ELK自动安装脚本,简化部署流程。脚本适用于Ubuntu系统,自动完成ELK下载、安装及基本配置,包括依赖项安装、服务启动及自启设置,极大降低了使用门槛,助力运维人员和开发者轻松构建日志分析平台。
171 6