AI 助理
备案控制台
开发者社区 云原生 文章 正文

部署ELK+filebeat收集nginx日志

2024-08-07 342
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
Elasticsearch Serverless通用抵扣包,测试体验金 200元
日志服务 SLS,月写入数据量 50GB 1个月
简介: 部署ELK+filebeat收集nginx日志

前言

简介

ELK(Elasticsearch、Logstash、Kibana)是开源的实时日志收集分析解决方案。

  • Elasticsearch:开源搜索引擎,是一个基于Lucene、分布式、通过Restful方式进行交互的近实时搜索平台框架。Elasticsearch为所有类型的数据提供近乎实时的搜索和分析。无论是结构化文本还是非结构化文本,数字数据或地理空间数据,Elasticsearch都能以支持快速搜索的方式有效地对其进行存储和索引。在ELK中负责日志分析与存储。
  • Logstash:日志收集、过滤、转发的日志收集引擎。能够从多个来源采集数据,转换数据,然后将数据发送到“存储库”中。Logstash能够动态地采集、转换和传输数据,不受格式或复杂度的影响。在本文中负责接收处理filebeat的数据
  • Kibana:负责页面可视化展示。
  • Filebeat:日志数据采集

完整日志系统的基本特征:

  • 收集:能够采集多种来源的日志数据
  • 传输:能够稳定的把日志数据解析过滤并传输到存储系统
  • 存储:存储日志数据
  • 分析:支持UI分析
  • 警告:能够提供错误报告,监控机制

部署位置

IP 应用 版本 说明
192.168.2.249 elasticsearch 7.5.1 日志分析和存储,简称“es”
192.168.2.249 logstash 7.5.1 日志处理
192.168.2.249 kibana 7.5.1 数据可视化
192.168.2.249 filebeat 7.5.1 日志采集
192.168.2.249 nginx 1.21.5 日志源

步骤

准备工作

  1. 安装docker和docker-compose,可参考 博客园 - 花酒锄作田 - linux离线安装docker与compose
  2. docker拉取es、logstash和kibana的docker镜像(version 7.5.1)
  3. 下载filebeat的二进制程序压缩包(官方下载地址
  4. 安装nginx

记录的一些命令(使用普通用户admin,有docker的使用权限)

# 拉取镜像
docker pull elasticsearch:7.5.1
docker pull logstash:7.5.1
docker pull kibana:7.5.1
# 准备数据和配置文件目录
mkdir -p $HOME/apps/{elasticsearch,logstash,kibana}

安装elasticsearch

  1. 编辑es-compose.yaml
version: '3'
services:
  elasticsearch:
    image: elasticsearch:7.5.1
    container_name: es
    environment:
      - discovery.type=single-node
      - bootstrap.memory_lock=true
      - "ES_JAVA_OPTS=-Xms1024m -Xmx1024m"
    ulimits:
      memlock:
        soft: -1
        hard: -1
    hostname: elasticsearch
    ports:
      - "9200:9200"
      - "9300:9300"
  1. 创建docker容器
docker-compose -f es-compose.yaml
  1. 从容器中复制一些配置
docker cp es:/usr/share/elasticsearch/data $HOME/apps/elasticsearch
docker cp es:/usr/share/elasticsearch/config $HOME/apps/elasticsearch
docker cp es:/usr/share/elasticsearch/modules $HOME/apps/elasticsearch
docker cp es:/usr/share/elasticsearch/plugins $HOME/apps/elasticsearch
  1. 修改es-compose.yaml(主要用于挂载数据持久化目录)
version: '3'
services:
  elasticsearch:
    image: elasticsearch:7.5.1
    container_name: es
    environment:
      - discovery.type=single-node
      - bootstrap.memory_lock=true
      - "ES_JAVA_OPTS=-Xms1024m -Xmx1024m"
    ulimits:
      memlock:
        soft: -1
        hard: -1
    volumes:
      - /etc/localtime:/etc/localtime:ro
      - /etc/timezone:/etc/timezone:ro
      - /home/admin/apps/elasticsearch/modules:/usr/share/elasticsearch/modules
      - /home/admin/apps/elasticsearch/plugins:/usr/share/elasticsearch/plugins
      - /home/admin/apps/elasticsearch/data:/usr/share/elasticsearch/data
      - /home/admin/apps/elasticsearch/config:/usr/share/elasticsearch/config
    hostname: elasticsearch
    ports:
      - "9200:9200"
      - "9300:9300"
  1. 重新启动
docker-compose -f es-compose.yaml up -d

安装logstash

  1. 编辑logstash-compose.yaml
version: '3'
services:
  logstash:
    image: logstash:7.5.1
    container_name: logstash
    hostname: logstash
    ports:
      - "5044:5044"
  1. 启动docker容器
docker-compose -f logstash-compose.yaml up -d
  1. 从docker容器中复制配置
docker cp logstash:/usr/share/logstash/config $HOME/apps/logstash
docker cp logstash:/usr/share/logstash/pipeline $HOME/apps/logstash
  1. 修改 $HOME/apps/logstash.config/logstash.yml,示例如下
http.host: "0.0.0.0"
xpack.monitoring.elasticsearch.hosts: [ "http://192.168.2.249:9200" ]
  1. 修改$HOME/apps/logstash/pipeline/logstash.conf
input {
  beats {
    port => 5044
    codec => "json"
  }
}
output {
  elasticsearch {
    hosts => ["http://192.168.2.249:9200"]
    index => "logstash-nginx-%{[@metadata][version]}-%{+YYYY.MM.dd}"
  }
}
  1. 修改logstash-compose.yaml
version: '3'
services:
  logstash:
    image: logstash:7.5.1
    container_name: logstash
    hostname: logstash
    ports:
      - "5044:5044"
    volumes:
      - /etc/localtime:/etc/locatime:ro
      - /etc/timezone:/etc/timezone:ro
      - /home/admin/apps/logstash/pipeline:/usr/share/logstash/pipeline
      - /home/admin/apps/logstash/config:/usr/share/logstash/config
  1. 重新启动
docker-compose -f logstash-compose.yaml up -d

安装kibana

  1. 编辑kibana-compose.yaml
version: '3'
services:
  kibana:
    image: kibana:7.5.1
    container_name: kibana
    hostname: kibana
    ports:
      - "5601:5601"
  1. 启动
docker-compose -f kibana-compose.yaml up -d
  1. 从docker容器中复制配置
docker cp kibana:/usr/share/kibana/config $HOME/apps/kibana
  1. 修改 $HOME/apps/kibana/config/kibana.yml,修改es地址和指定中文
server.name: kibana
server.host: "0"
elasticsearch.hosts: [ "http://192.168.2.249:9200" ]
xpack.monitoring.ui.container.elasticsearch.enabled: true
i18n.locale: "zh-CN"
  1. 修改kibana-compose.yaml
version: '3'
services:
  kibana:
    image: kibana:7.5.1
    container_name: kibana
    hostname: kibana
    ports:
      - "5601:5601"
    volumes:
      - /etc/localtime:/etc/locatime:ro
      - /etc/timezone:/etc/timezone:ro
      - /home/admin/apps/kibana/config:/usr/share/kibana/config
  1. 重新启动
docker-compose -f kibana-compose.yaml up -d

修改nginx日志格式

log_format json '{"@timestamp": "$time_iso8601", '
        '"connection": "$connection", '
                '"remote_addr": "$remote_addr", '
                '"remote_user": "$remote_user", '
                '"request_method": "$request_method", '
                '"request_uri": "$request_uri", '
                '"server_protocol": "$server_protocol", '
                '"status": "$status", '
                '"body_bytes_sent": "$body_bytes_sent", '
                '"http_referer": "$http_referer", '
                '"http_user_agent": "$http_user_agent", '
                '"http_x_forwarded_for": "$http_x_forwarded_for", '
                '"request_time": "$request_time"}';

在http块中设置:access_log logs/access.log json;

安装filebeat

  1. 假设filebeat的压缩包已下载并解压,解压和重命名之后,二进制文件所在目录为/home/admin/apps/filebeat
  2. 编辑filebeat.yaml,找到以下内容,取消输出到es,改为输出到logstash,示例:
#-------------------------- Elasticsearch output ------------------------------
#output.elasticsearch:
  # Array of hosts to connect to.
  #hosts: ["localhost:9200"]
  # Optional protocol and basic auth credentials.
  #protocol: "https"
  #username: "elastic"
  #password: "changeme"
#----------------------------- Logstash output --------------------------------
output.logstash:
  # The Logstash hosts
  hosts: ["192.168.2.249:5044"]
  1. 启用nginx模块
./filebeat modules enable nginx
  1. 配置nginx模块。修改./modules.d/nginx.yml,主要修改nginx日志的路径,示例如下
# Module: nginx
# Docs: https://www.elastic.co/guide/en/beats/filebeat/7.5/filebeat-module-nginx.html
- module: nginx
  # Access logs
  access:
    enabled: true
    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    var.paths: ["/home/admin/apps/nginx/logs/*access.log"]
  # Error logs
  error:
    enabled: true
    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    var.paths: ["/home/admin/apps/nginx/logs/*error.log"]
  1. 检查配置
./filebeat test config
./filebeat test output
  1. 验证通过后,启动
nohup ./filebeat -e -c ./filebeat.yml > /dev/null 2>&1 &

kibana展示

  1. 打开kibana的web页面,端口5061
  2. 打开左侧菜单栏的设置(management) - 索引模式 - 创建索引模式
  3. 输入logstash-nginx-*,点击下一步(如果点不了,选择timestamp)
  4. 打开左侧菜单栏的discover,选择logstash-nginx-*就可以试试查看nginx输出日志了

参考资料

文章标签:
日志服务
检索分析服务 Elasticsearch版
容器
应用服务中间件
nginx
Docker
存储
关键词:
Nginx日志
ELK nginx
ELK日志
elk日志服务
elk Nginx日志
相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
花酒锄作田
目录
相关文章
1353439074542983
|
5月前
|
应用服务中间件 PHP nginx
今日小结通过aliyun的本地容器镜像部署我的nginx和php环境
简介: 本教程介绍如何基于 Dragonwell 的 Ubuntu 镜像创建一个运行 Nginx 的 Docker 容器。首先从阿里云容器镜像服务拉取基础镜像,然后编写 Dockerfile 确保 Nginx 作为主进程运行,并暴露 80 端口。最后,在包含 Dockerfile 的目录下构建自定义镜像并启动容器,确保 Nginx 在前台运行,避免容器启动后立即退出。通过 `docker build` 和 `docker run` 命令完成整个流程。
1353439074542983
226 25
今日小结通过aliyun的本地容器镜像部署我的nginx和php环境
鱼的爱情看不出泪水
|
5天前
|
Ubuntu 应用服务中间件 网络安全
ELK完整部署教程
本文介绍了在Ubuntu 22.04上部署ELK(Elasticsearch、Logstash、Kibana)及Filebeat的完整步骤。内容涵盖Elasticsearch安装与安全配置、Kibana启用SSL与注册、Logstash配置输入输出,以及Filebeat采集日志并发送至Logstash或Elasticsearch的方法。适用于本地非容器环境的日志收集与可视化搭建。
鱼的爱情看不出泪水
102 2
蓝易云
|
2月前
|
应用服务中间件 Linux 网络安全
技术指南:如何把docsify项目部署到基于CentOS系统的Nginx中。
总结 与其他部署方法相比,将docsify项目部署到基于CentOS系统的Nginx中比较简单。以上步骤应当帮助你在不花费太多时间的情况下,将你的项目顺利部署到Nginx中。迈出第一步,开始部署你的docsify项目吧!
蓝易云
117 14
蓝易云
|
4月前
|
数据可视化 关系型数据库 MySQL
ELK实现nginx、mysql、http的日志可视化实验
通过本文的步骤,你可以成功配置ELK(Elasticsearch, Logstash, Kibana)来实现nginx、mysql和http日志的可视化。通过Kibana,你可以直观地查看和分析日志数据,从而更好地监控和管理系统。希望这些步骤能帮助你在实际项目中有效地利用ELK来处理日志数据。
蓝易云
383 90
阿里云计算巢-存坤
|
10月前
|
弹性计算 运维 监控
快速部署 Nginx 社区版
Nginx是一个高性能的HTTP和反向代理服务器。Nginx在计算巢上提供了社区版服务,您无需自行配置云主机,即可在计算巢上快速部署Nginx服务、实现运维监控,从而方便地基于Nginx搭建您自己的应用。本文介绍使用如何通过计算巢快速部署Nginx社区版。
阿里云计算巢-存坤
151 6
快速部署 Nginx 社区版
1176112968452250
|
10月前
|
存储 消息中间件 网络协议
日志平台-ELK实操系列(一)
日志平台-ELK实操系列(一)
1176112968452250
361 0
liuyunshengsir
|
7月前
|
监控 应用服务中间件 定位技术
要统计Nginx的客户端IP,可以通过分析Nginx的访问日志文件来实现
要统计Nginx的客户端IP,可以通过分析Nginx的访问日志文件来实现
liuyunshengsir
628 3
warmhearted
|
8月前
|
存储 监控 安全
开源日志分析ELK Stack (Elasticsearch, Logstash, Kibana)
【10月更文挑战第21天】
warmhearted
718 7
游客cxtb2yf2r55as
|
9月前
|
前端开发 JavaScript 应用服务中间件
使用nginx部署网站
使用nginx部署网站
游客cxtb2yf2r55as
217 1
nanshaws
|
9月前
|
JavaScript 应用服务中间件 nginx
nginx部署vue项目
本文介绍了将Vue项目部署到Nginx的步骤,包括构建Vue项目、上传dist文件夹到服务器、安装Nginx、配置Nginx代理静态文件以及重启Nginx,确保了Vue应用可以通过域名或IP地址访问。
nanshaws
468 1

热门文章

最新文章

  • 1
    警惕日志采集失败的 6 大经典雷区:从本地管理反模式到 LoongCollector 标准实践
  • 2
    AWK在网络安全中的高效应用:从日志分析到威胁狩猎
  • 3
    日志审查安排工具实战攻略:中小团队如何通过日志审查安排工具建立可控、安全的审查机制?
  • 4
    阿里云发布可观测MCP!支持自然语言查询和分析多模态日志
  • 5
    StarRocks+Paimon 落地阿里日志采集:万亿级实时数据秒级查询
  • 6
    MySQL日志分析:binlog、redolog、undolog三大日志的深度探讨。
  • 7
    日志与追踪的完美融合:OpenTelemetry MDC 实践指南
  • 8
    【Application Insights】Application Insights存储的Function App的日志存在"Operation Link" 为空的情况
  • 9
    Aipy实战:分析apache2日志中的网站攻击痕迹
  • 10
    Nginx Ingress Controller 入门实践
  • 1
    日志审查安排工具实战攻略:中小团队如何通过日志审查安排工具建立可控、安全的审查机制?
    24
  • 2
    AWK在网络安全中的高效应用:从日志分析到威胁狩猎
    39
  • 3
    警惕日志采集失败的 6 大经典雷区:从本地管理反模式到 LoongCollector 标准实践
    271
  • 4
    Aipy实战:分析apache2日志中的网站攻击痕迹
    45
  • 5
    【Application Insights】Application Insights存储的Function App的日志存在"Operation Link" 为空的情况
    67
  • 6
    StarRocks+Paimon 落地阿里日志采集:万亿级实时数据秒级查询
    197
  • 7
    日志与追踪的完美融合:OpenTelemetry MDC 实践指南
    104
  • 8
    MySQL日志分析:binlog、redolog、undolog三大日志的深度探讨。
    112
  • 9
    阿里云发布可观测MCP!支持自然语言查询和分析多模态日志
    315
  • 10
    兄弟,你还在翻日志看故障?AI都快替你写日报了!
    113

    • 相关课程

    更多
  • 日志服务SLS实现云产品可观测
  • 日志服务 SLS 可观测数据分析平台介绍
  • 大数据知识图谱系列—基于ELK+Flink日志全观测最佳实践
  • Nginx企业级Web服务实战
  • Linux Web服务器Nginx搭建与配置
  • 场景实践-基于阿里云Quick BI 对MOOC网站日志分析

    • 相关电子书

    更多
  • PostgresChina2018_赖思超_PostgreSQL10_hash索引的WAL日志修改版final
  • Kubernetes下日志实时采集、存储与计算实践
  • 日志数据采集与分析对接

    • 相关实验场景

    更多
  • 使用CloudLens管理SLS日志采集
  • 使用CloudLens采集PolarDB日志并进行审计分析
  • 使用CloudLens采集RDS日志并进行审计分析
  • 使用日志服务SLS进行OSS可观测分析
  • 多账号体系下使用日志服务中心化的管理日志
  • 日志服务之告警接入与管理
    • 下一篇
    就是要你懂负载均衡--lvs和转发模式