本节书摘来自华章出版社《ELK Stack权威指南(第2版)》一书中的第3章,第3.2节,作者 饶琛琳 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
3.2 Nginx错误日志
Nginx错误日志是运维人员最常见但又极其容易忽略的日志类型之一。本节介绍对Nginx错误日志的处理方式,并推荐读者在性能优化中对此多加关注。Nginx错误日志既没有统一明确的分隔符,也没有特别方便的正则模式,但通过Logstash不同插件的组合,还是可以轻松进行数据处理的。
值得注意的是,Nginx错误日志中有一类数据是接收过大请求体时的报错,默认信息会把请求体的具体字节数记录下来。每次请求的字节数基本都是在变化的,这意味着常用的topN等聚合函数对该字段没有明显效果。所以,对此需要做一下特殊处理。
最后形成的Logstash配置如下所示:
