ELK 分析 nginx access 日志-阿里云开发者社区

ELK 分析 nginx access 日志

2017-11-18 1256

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云原生内存数据库 Tair，内存型 2GB

云数据库 Redis 版，标准版 2GB

日志服务 SLS，月写入数据量 50GB 1个月

简介：

注意：修改配置后建议重新创建index

1、nginx 日志文件格式

 
        log_format elk "$http_clientip | $http_x_forwarded_for | $time_local | $request | $status | $body_bytes_sent | "
       
        "$request_body | $content_length | $http_referer | $http_user_agent | " 
       
        "$http_cookie | $remote_addr | $hostname | $upstream_addr | $upstream_response_time | $request_time";

2、logstash nginx 服务器上的配置文件 agent.conf

 
        input {  
       
        file {   
       
        type => "elk_frontend_access"   
       
        path => ["/data/logs/flight1-access_log"]   
       
        } 
       
        }  
       
        filter {
       
        ruby {
       
        init => "@kname = ['http_clientip','http_x_forwarded_for','time_local','request','status','body_bytes_sent','request_body','content_length','http_referer','http_user_agent','http_cookie','remote_addr','hostname','upstream_addr','upstream_response_time','request_time']"
       
        code => "new_event = LogStash::Event.new(Hash[@kname.zip(event.get('message').split('|'))])
       
        new_event.remove('@timestamp')
       
        event.append(new_event)"
       
        }
       
        if [request] {
       
        ruby {
       
        init => "@kname = ['method','uri','verb']"
       
        code => "new_event = LogStash::Event.new(Hash[@kname.zip(event.get('request').split(' '))])
       
        new_event.remove('@timestamp')
       
        event.append(new_event)
       
        "
       
        }
       
        if [uri] {
       
        ruby {
       
        init => "@kname = ['url_path','url_args']"
       
        code => "new_event = LogStash::Event.new(Hash[@kname.zip(event.get('uri').split('?'))])
       
        new_event.remove('@timestamp')
       
        event.append(new_event)
       
        "
       
        }
       
        kv {
       
        prefix => "url_"
       
        source => "url_args"
       
        field_split => "& "
       
        remove_field => [ "url_args","uri","request" ]
       
        }
       
        }
       
        }
       
        mutate {
       
        convert => ["body_bytes_sent" , "integer", "content_length", "integer", "upstream_response_time", "float","request_time", "float"]
       
        }
       
        date {
       
        match => [ "time_local", "dd/MMM/yyyy:hh:mm:ss Z" ]
       
        locale => "en"
       
        }
       
        grok { 
       
        match => { "message" => "%{IP:clientip}" } 
       
        } 
       
        geoip  
       
        {
       
        source => "clientip" 
       
        } 
       
        }
       
        output {
       
        redis {   
       
        host => "10.10.45.200"   
       
        data_type => "list"   
       
        key => "elk_frontend_access:redis"   
       
        port=>"5379"   
       
        }   
       
        }

3、logstash elk服务器上的配置文件server.conf

 
        input {  
       
        redis {   
       
        host => "10.10.45.200"   
       
        data_type => "list"   
       
        key => "elk_frontend_access:redis"   
       
        port =>"5379"   
       
        }   
       
        }  
       
        output {  
       
        elasticsearch {   
       
        hosts => "10.10.45.200:8200"   
       
        index => "logstash-zjzc-frontend-%{+YYYY.MM.dd}"   
       
        }   
       
        stdout {   
       
        codec => rubydebug   
       
        }   
       
        }

注意：如果修改后没有生效，在kibana上重建索引。

本文转自1321385590 51CTO博客，原文链接：http://blog.51cto.com/linux10000/1922391，如需转载请自行联系原作者

ELK 分析 nginx access 日志

热门文章

最新文章

相关课程

相关电子书

相关实验场景