优化集中式日志记录的方法:添加 Logstash 过滤器

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 优化集中式日志记录的方法:添加 Logstash 过滤器

介绍

Logstash 是一个强大的工具,用于集中和分析日志,可以帮助提供环境概览,并识别服务器的问题。增加 ELK Stack(Elasticsearch、Logstash 和 Kibana)设置的有效性之一是通过收集重要的应用程序日志,并通过使用过滤器对日志数据进行结构化,以便数据可以被轻松分析和查询。我们将围绕“grok”模式构建我们的过滤器,以将日志中的数据解析为有用的信息片段。

先决条件

要遵循本教程,您必须拥有一个正在接收来自 Filebeat 等发货人的日志的 Logstash 服务器。

ELK 服务器假设

  • Logstash 安装在 /opt/logstash
  • 您的 Logstash 配置文件位于 /etc/logstash/conf.d
  • 您有一个名为 02-beats-input.conf 的输入文件
  • 您有一个名为 30-elasticsearch-output.conf 的输出文件

您可能需要在 Logstash 服务器上运行以下命令来创建 patterns 目录:

sudo mkdir -p /opt/logstash/patterns
sudo chown logstash: /opt/logstash/patterns

客户端服务器假设

  • 您已经在每个应用程序服务器上配置了 Filebeat,将 syslog/auth.log 发送到您的 Logstash 服务器(如先决条件教程中的“设置 Filebeat”部分)

如果您的设置不同,请简单地调整本指南以匹配您的环境。

关于 Grok

Grok 通过使用正则表达式解析文本模式,并将其分配给标识符来工作。

Grok 模式的语法是 %{PATTERN:IDENTIFIER}。Logstash 过滤器包括一系列 grok 模式,这些模式匹配并将日志消息的各个部分分配给各个标识符,这就是日志的结构化方式。

要了解更多关于 grok 的信息,请访问 Logstash grok 页面和 Logstash 默认模式列表。

如何使用本指南

本文后续的每个主要部分都将包括必要的附加配置细节,以便为给定应用程序收集和过滤日志。对于要记录和过滤的每个应用程序,您都需要在客户端服务器(Filebeat)和 Logstash 服务器上进行一些配置更改。

Logstash 模式子部分

如果有 Logstash 模式子部分,它将包含可以添加到 Logstash 服务器上 /opt/logstash/patterns 中的新文件中的 grok 模式。这将允许您在 Logstash 过滤器中使用新模式。

Logstash 过滤器子部分

Logstash 过滤器子部分将包括一个过滤器,可以添加到 Logstash 服务器上 /etc/logstash/conf.d 中的新文件中,位于输入和输出配置文件之间。该过滤器确定 Logstash 服务器如何解析相关的日志文件。记得在添加新过滤器后重新启动 Logstash 服务,以加载您的更改。

Filebeat Prospector 子部分

Filebeat Prospector 用于指定要发送到 Logstash 的日志。应在 /etc/filebeat/filebeat.yml 文件中的 prospectors 部分的现有 prospector 之后直接添加额外的 prospector 配置:

filebeat:
  # List of prospectors to fetch data.
  prospectors:
    -
      - /var/log/secure
      - /var/log/messages
      document_type: syslog
    -
      paths:
        - /var/log/app/*.log
      document_type: app-access
...

在上面的示例中,红色突出显示的行表示一个 Prospector,它将 /var/log/app/ 中的所有 .log 文件以 app-access 类型发送到 Logstash。在进行任何更改后,必须重新加载 Filebeat 以使任何更改生效。

现在您知道如何使用本指南,接下来的部分将向您展示如何收集和过滤应用程序日志!

应用程序:Nginx

Logstash 模式:Nginx

Nginx 日志模式未包含在 Logstash 的默认模式中,因此我们将手动添加 Nginx 模式。

在您的 ELK 服务器 上,创建一个名为 nginx 的新模式文件:

sudo vi /opt/logstash/patterns/nginx

然后插入以下行:

NGUSERNAME [a-zA-Z\.\@\-\+_%]+
NGUSER %{NGUSERNAME}
NGINXACCESS %{IPORHOST:clientip} %{NGUSER:ident} %{NGUSER:auth} \[%{HTTPDATE:timestamp}\] "%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}" %{NUMBER:response} (?:%{NUMBER:bytes}|-) (?:"(?:%{URI:referrer}|-)"|%{QS:referrer}) %{QS:agent}

保存并退出。NGINXACCESS 模式解析并将数据分配给各种标识符(例如 clientipidentauth 等)。

接下来,更改模式文件的所有权为 logstash

sudo chown logstash: /opt/logstash/patterns/nginx

Logstash 过滤器:Nginx

在您的 ELK 服务器 上,创建一个名为 11-nginx-filter.conf 的新过滤器配置文件:

sudo vi /etc/logstash/conf.d/11-nginx-filter.conf

然后添加以下过滤器:

filter {
  if [type] == "nginx-access" {
    grok {
      match => { "message" => "%{NGINXACCESS}" }
    }
  }
}

保存并退出。请注意,此过滤器将尝试使用上面定义的 NGINXACCESS 模式匹配 nginx-access 类型的消息。

现在重新启动 Logstash 以重新加载配置:

sudo service logstash restart

Filebeat Prospector:Nginx

在您的 Nginx 服务器 上,打开 filebeat.yml 配置文件进行编辑:

sudo vi /etc/filebeat/filebeat.yml

filebeat 部分添加以下 Prospector,将 Nginx 访问日志作为 nginx-access 类型发送到您的 Logstash 服务器:

-
      paths:
        - /var/log/nginx/access.log
      document_type: nginx-access

保存并退出。重新加载 Filebeat 以使更改生效:

sudo service filebeat restart

现在您的 Nginx 日志将被收集和过滤!

应用程序:Apache HTTP Web 服务器

Apache 的日志模式已包含在默认的 Logstash 模式中,因此设置其过滤器相当容易。

Logstash 过滤器:Apache

在您的 ELK 服务器 上,创建一个名为 12-apache.conf 的新过滤器配置文件:

sudo vi /etc/logstash/conf.d/12-apache.conf

然后添加以下过滤器:

filter {
  if [type] == "apache-access" {
    grok {
      match => { "message" => "%{COMBINEDAPACHELOG}" }
    }
  }
}

保存并退出。请注意,此过滤器将尝试使用默认的 Logstash 模式之一 COMBINEDAPACHELOG 匹配 apache-access 类型的消息。

现在重新启动 Logstash 以重新加载配置:

sudo service logstash restart

Filebeat Prospector:Apache

在您的 Apache 服务器 上,打开 filebeat.yml 配置文件进行编辑:

sudo vi /etc/filebeat/filebeat.yml

filebeat 部分添加以下 Prospector,将 Apache 日志作为 apache-access 类型发送到您的 Logstash 服务器:

-
      paths:
        - /var/log/apache2/access.log
      document_type: apache-access

保存并退出。重新加载 Filebeat 以使更改生效:

sudo service filebeat restart

现在您的 Apache 日志将被收集和过滤!

结论

几乎可以收集和解析任何类型的日志。尝试编写自己的过滤器和模式来处理其他日志文件。

欢迎在评论中提出您希望看到的过滤器,或者提供您自己的模式!

如果您不熟悉如何使用 Kibana,请查看本教程:如何使用 Kibana 可视化和仪表板。


相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
4月前
|
Kubernetes Ubuntu Windows
【Azure K8S | AKS】分享从AKS集群的Node中查看日志的方法(/var/log)
【Azure K8S | AKS】分享从AKS集群的Node中查看日志的方法(/var/log)
142 3
|
21天前
|
存储 Prometheus 监控
Docker容器内进行应用调试与故障排除的方法与技巧,包括使用日志、进入容器检查、利用监控工具及检查配置等,旨在帮助用户有效应对应用部署中的挑战,确保应用稳定运行
本文深入探讨了在Docker容器内进行应用调试与故障排除的方法与技巧,包括使用日志、进入容器检查、利用监控工具及检查配置等,旨在帮助用户有效应对应用部署中的挑战,确保应用稳定运行。
30 5
|
1月前
|
存储 监控 安全
|
1月前
|
JSON 监控 JavaScript
Node.js-API 限流与日志优化
Node.js-API 限流与日志优化
|
1月前
|
存储 JSON 监控
开源日志分析Logstash
【10月更文挑战第22天】
52 1
|
2月前
|
Arthas 监控 Java
JVM知识体系学习七:了解JVM常用命令行参数、GC日志详解、调优三大方面(JVM规划和预调优、优化JVM环境、JVM运行出现的各种问题)、Arthas
这篇文章全面介绍了JVM的命令行参数、GC日志分析以及性能调优的各个方面,包括监控工具使用和实际案例分析。
68 3
|
2月前
|
存储 监控 固态存储
如何监控和优化 WAL 日志文件的存储空间使用?
如何监控和优化 WAL 日志文件的存储空间使用?
|
3月前
|
缓存 监控 算法
分析慢日志文件来优化 PHP 脚本的性能
分析慢日志文件来优化 PHP 脚本的性能
|
4月前
|
消息中间件 监控 Kafka
Filebeat+Kafka+Logstash+Elasticsearch+Kibana 构建日志分析系统
【8月更文挑战第13天】Filebeat+Kafka+Logstash+Elasticsearch+Kibana 构建日志分析系统
241 3
|
4月前
|
开发者 前端开发 编解码
Vaadin解锁移动适配新境界:一招制胜,让你的应用征服所有屏幕!
【8月更文挑战第31天】在移动互联网时代,跨平台应用开发备受青睐。作为一款基于Java的Web应用框架,Vaadin凭借其组件化设计和强大的服务器端渲染能力,助力开发者轻松构建多设备适应的Web应用。本文探讨Vaadin与移动设备的适配策略,包括响应式布局、CSS媒体查询、TouchKit插件及服务器端优化,帮助开发者打造美观且实用的移动端体验。通过这些工具和策略的应用,可有效应对屏幕尺寸、分辨率及操作系统的多样性挑战,满足广大移动用户的使用需求。
69 0
下一篇
DataWorks