ELK 分析 nginx access 日志-阿里云开发者社区

ELK 分析 nginx access 日志

2017-11-18 1494

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

注意：修改配置后建议重新创建index

1、nginx 日志文件格式

 
        log_format elk "$http_clientip | $http_x_forwarded_for | $time_local | $request | $status | $body_bytes_sent | "
       
        "$request_body | $content_length | $http_referer | $http_user_agent | " 
       
        "$http_cookie | $remote_addr | $hostname | $upstream_addr | $upstream_response_time | $request_time";

2、logstash nginx 服务器上的配置文件 agent.conf

 
        input {  
       
        file {   
       
        type => "elk_frontend_access"   
       
        path => ["/data/logs/flight1-access_log"]   
       
        } 
       
        }  
       
        filter {
       
        ruby {
       
        init => "@kname = ['http_clientip','http_x_forwarded_for','time_local','request','status','body_bytes_sent','request_body','content_length','http_referer','http_user_agent','http_cookie','remote_addr','hostname','upstream_addr','upstream_response_time','request_time']"
       
        code => "new_event = LogStash::Event.new(Hash[@kname.zip(event.get('message').split('|'))])
       
        new_event.remove('@timestamp')
       
        event.append(new_event)"
       
        }
       
        if [request] {
       
        ruby {
       
        init => "@kname = ['method','uri','verb']"
       
        code => "new_event = LogStash::Event.new(Hash[@kname.zip(event.get('request').split(' '))])
       
        new_event.remove('@timestamp')
       
        event.append(new_event)
       
        "
       
        }
       
        if [uri] {
       
        ruby {
       
        init => "@kname = ['url_path','url_args']"
       
        code => "new_event = LogStash::Event.new(Hash[@kname.zip(event.get('uri').split('?'))])
       
        new_event.remove('@timestamp')
       
        event.append(new_event)
       
        "
       
        }
       
        kv {
       
        prefix => "url_"
       
        source => "url_args"
       
        field_split => "& "
       
        remove_field => [ "url_args","uri","request" ]
       
        }
       
        }
       
        }
       
        mutate {
       
        convert => ["body_bytes_sent" , "integer", "content_length", "integer", "upstream_response_time", "float","request_time", "float"]
       
        }
       
        date {
       
        match => [ "time_local", "dd/MMM/yyyy:hh:mm:ss Z" ]
       
        locale => "en"
       
        }
       
        grok { 
       
        match => { "message" => "%{IP:clientip}" } 
       
        } 
       
        geoip  
       
        {
       
        source => "clientip" 
       
        } 
       
        }
       
        output {
       
        redis {   
       
        host => "10.10.45.200"   
       
        data_type => "list"   
       
        key => "elk_frontend_access:redis"   
       
        port=>"5379"   
       
        }   
       
        }

3、logstash elk服务器上的配置文件server.conf

 
        input {  
       
        redis {   
       
        host => "10.10.45.200"   
       
        data_type => "list"   
       
        key => "elk_frontend_access:redis"   
       
        port =>"5379"   
       
        }   
       
        }  
       
        output {  
       
        elasticsearch {   
       
        hosts => "10.10.45.200:8200"   
       
        index => "logstash-zjzc-frontend-%{+YYYY.MM.dd}"   
       
        }   
       
        stdout {   
       
        codec => rubydebug   
       
        }   
       
        }

注意：如果修改后没有生效，在kibana上重建索引。

本文转自1321385590 51CTO博客，原文链接：http://blog.51cto.com/linux10000/1922391，如需转载请自行联系原作者

ELK 分析 nginx access 日志

热门文章

最新文章

相关课程

相关电子书

探索云世界

热门

云计算

大数据

云原生

人工智能

数据库

开发与运维

活动广场

任务中心

训练营

直播

乘风者计划

下载

镜像站

技术资料

ELK 分析 nginx access 日志

热门文章

最新文章

相关课程

相关电子书