1、收集访问日志

1)、首先是要在nginx里面配置日志格式化输出

    log_format  main  "$http_x_forwarded_for | $time_local | $request | $status | $body_bytes_sent | $request_body | $content_length | $http_referer | $http_user_agent |"

                      "$http_cookie | $remote_addr | $hostname | $upstream_addr | $upstream_response_time | $request_time" ;

    access_log  /var/log/nginx/access.log  main;

2)、接下来开始在logstash创建处理nginx的配置文件

input {

        file {

                path => ["/var/log/nginx/access.log"]

        }

}

filter {

        ruby {

                init => "@kname =['http_x_forwarded_for','time_local','request','status','body_bytes_sent','request_body','content_length','http_referer','http_user_agent','http_cookie','remote_addr','hostname','upstream_addr','upstream_response_time','request_time']"

                code => "new_event = LogStash::Event.new(Hash[@kname.zip(event.get('message').split('|'))])

                new_event.remove('@timestamp')

                event.append(new_event)

                "

        }

if [request] {

        ruby {

                init => "@kname = ['method','uri','verb']"

                code => "

                        new_event = LogStash::Event.new(Hash[@kname.zip(event.get('request').split(' '))])

                        new_event.remove('@timestamp')

                        event.append(new_event)

                "

        }

 }

if [uri] {

        ruby{

                init => "@kname = ['url_path','url_args']"

                code => "

                        new_event = LogStash::Event.new(Hash[@kname.zip(event.get('uri').split('?'))])

                        new_event.remove('@timestamp')

                        event.append(new_event)

                "

        }

 }

kv {

        prefix =>"url_"

        source =>"url_args"

        field_split =>"&"

        include_keys => ["uid","cip"]

        remove_field => ["url_args","uri","request"]

}

mutate {

        convert => [

                "body_bytes_sent","integer",

                "content_length","integer",

                "upstream_response_time","float",

                "request_time","float"

        ]

 }

date {

        match => [ "time_local","dd/MMM/yyyy:hh:mm:ss Z" ]

        locale => "en"

 }

}

output{stdout{}}

此处的例子借鉴ELKstack权威指南里面的例子,不过书中的例子有错,我这里修改好了,可以参考书籍39页和66页

github:https://github.com/weixinqing/Logstash-example/blob/master/initnginx.conf

3)、最后允许一下看一下效果所示:

{

                  "url_path" => "/",

           "body_bytes_sent" => ,

                  "@version" => "",

                   "message" => "- | 05/Mar/2019:16:21:40 +0800 | GET / HTTP/1.1 | 304 | 0 | - | - | - | Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 |- | 172.16.0.10 | elk-chaofeng07 | - | - | 0.000",

                      "host" => "ELK-chaofeng07",

               "http_cookie" => "- ",

             "upstream_addr" => " - ",

    "upstream_response_time" => 0.0,

                "@timestamp" => --05T08::.352Z,

                       "uri" => "/",

                   "request" => " GET / HTTP/1.1 ",

                      "path" => "/var/log/nginx/access.log",

                  "url_args" => nil,

                  "hostname" => " elk-chaofeng07 ",

                      "verb" => "HTTP/1.1",

           "http_user_agent" => " Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36 SE 2.X MetaSr 1.0 ",

                "time_local" => " 05/Mar/2019:16:21:40 +0800 ",

              "request_body" => " - ",

               "remote_addr" => " 172.16.0.10 ",

                    "status" => " 304 ",

              "request_time" => 0.0,

                    "method" => "GET",

              "http_referer" => " - ",

                      "tags" => [

        [] "_dateparsefailure"

    ],

            "content_length" => ,

      "http_x_forwarded_for" => "- "

}

唯一不足的就是中间报了个错误,可以自行解决一下。

2、收集错误日志

定义logstash处理的配置文件

input{

        file {

                path => ["/var/log/nginx/error.log"]

        }

}

filter{

        grok {

                match => {"message" => "(?<datetime>\d\d\d\d/\d\d/\d\d \d\d:\d\d:\d\d) \[(?<errortype>\w+)\] \S+: \*\d+ (?<errormsg>[^,]+), \w+: %{IP:remotehost}, \w+: \w+, \w+: (?<request>[^,]+), \w+: \"%{IP:localhost}\""}

        }

        mutate {

                remove_field => ["message"]

        }

if [request] {

        ruby {

                init => "@kname = ['method','uri','verb']"

                code => "

                        new_event = LogStash::Event.new(Hash[@kname.zip(event.get('request').split(' '))])

                        new_event.remove('@timestamp')

                        event.append(new_event)

                "

        }

}

}

output{stdout{}}

查看一下效果:

{

      "@version" => "",

          "path" => "/var/log/nginx/error.log",

    "remotehost" => "172.16.0.10",

       "request" => "\"GET /8 HTTP/1.1\"",

          "verb" => "HTTP/1.1\"",

           "uri" => "/8",

          "host" => "ELK-chaofeng07",

     "localhost" => "172.16.0.57",

        "method" => "\"GET",

    "@timestamp" => --05T10::.377Z,

      "datetime" => "2019/03/05 18:43:53",

      "errormsg" => "open() \"/usr/share/nginx/html/8\" failed (2: No such file or directory)",

     "errortype" => "error"

}

Logstash收集nginx访问日志和错误日志的更多相关文章

  1. logstash收集nginx访问日志

    logstash收集nginx访问日志 安装nginx #直接yum安装: [root@elk-node1 ~]# yum install nginx -y 官方文档:http://nginx.org ...

  2. mysql基础之日志管理(查询日志、慢查询日志、错误日志、二进制日志、中继日志、事务日志)

    日志文件记录了MySQL数据库的各种类型的活动,MySQL数据库中常见的日志文件有 查询日志,慢查询日志,错误日志,二进制日志,中继日志 ,事务日志. 修改配置或者想要使配置永久生效需将内容写入配置文 ...

  3. 【夯实PHP基础】nginx php-fpm 输出php错误日志

    本文地址 原文地址 分享提纲: 1.概述 2.解决办法(解决nginx下php-fpm不记录php错误日志) 1. 概述 nginx是一个web服务器,因此nginx的access日志只有对访问页面的 ...

  4. nginx php-fpm 输出php错误日志

    nginx是一个web服务器,因此nginx的access日志只有对访问页面的记录,不会有php 的 error log信息. nginx把对php的请求发给php-fpm fastcgi进程来处理, ...

  5. nginx php-fpm 输出php错误日志(转)

    nginx是一个web服务器,因此nginx的access日志只有对访问页面的记录,不会有php 的 error log信息. nginx把对php的请求发给php-fpm fastcgi进程来处理, ...

  6. node 日志 log4js 错误日志记录

    SET DEBUG=mylog:* & npm start 原文出处:http://blog.fens.me/nodejs-log4js/ 1. 默认的控制台输出 我们使用express框架时 ...

  7. Redis的Errorlog或者启动日志(错误日志)的配置

    Errorlog或者是运行日志是任何一个软件的运行中异常诊断必看的文件之一,折腾Redis的过程中以为有默认的错误日志(或启动日志),不过一直没有发现类似的日志文件,在看了默认的配置文件之后,发现Re ...

  8. mysql 开发进阶篇系列 38 mysql日志之错误日志log-error

    一.mysql日志概述 在mysql中,有4种不同的日志,分别是错误日志,二进制日志(binlog日志),查询日志,慢查询日志.这此日志记录着数据库在不同方面的踪迹(区别sql server里只有er ...

  9. MySQL-五种日志(查询日志、慢查询日志、更新日志、二进制日志、错误日志)、备份及主从复制配置

    开启查询日志: 配置文件my.cnf: log=/usr/local/mysql/var/log.log 开启慢查询: 配置文件my.cnf: log-slow-queries=/usr/local/ ...

随机推荐

  1. 移动端自动化测试-AppiumApi接口详解

    Appium 初始化配置信息(Desired Capabilities),Desired Capabilities实际上就是一个字典,它主要用于向Appium Server提供初始化配置参数,如:想要 ...

  2. 交换路由中期测验20181205(DHCP、IOS、静态路由、RIP、EIGRP)

    测试拓扑: 知识点:DHCP:IOS的备份恢复与更新:静态路由:动态路由(RIP):动态路由(EIGRP) 1.DHCP 拓扑: 主要指令: ip dhcp pool 地址池名称   network ...

  3. Nginx 的两种认证方式

    简介: 今天来研究一下 Nginx 的两种认证方式. 1.auth_basic 本机认证 2.ngx_http_auth_request_module 第三方认证 一.安装 Nginx shell & ...

  4. 详解C#异常处理

    一.程序运行时产生的错误通过使用一种称为异常(Exception)的机制在程序中传递,通过异常处理(Exception Handling)有助于处理程序运行过程中发生的意外或异常情况:异常可由CLR和 ...

  5. jQuery检查复选框是否被选

    <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content ...

  6. 进程间通信IPC-命名管道FIFO

    FIFO又被称为命名管道,未命名的管道只能在两个相关的进程之间使用,而这两个相关的进程还要有一个共同创建了它们的祖先进程,但是FIFO,不相关的进程之间也能交换数据. FIFO是一种文件类型.通过st ...

  7. vue 动态组件、父子组件传参

    1.vue中的自定义属性并获得属性的值 自定义属性::data-id语法为 :data-属性  获取属性的值:ev.target.dataset.id 2.vue父子组件传值 3.动态组件使用

  8. [POI 2009]Lyz

    Description 题库链接 初始时滑冰俱乐部有 \(1\) 到 \(n\) 号的溜冰鞋各 \(k\) 双.已知 \(x\) 号脚的人可以穿 \(x\) 到 \(x+d\) 的溜冰鞋.有 \(m\ ...

  9. MVC分部视图@Html.Partial

    加载分布视图的方式: //1.以视图名使用当前文件夹下的视图(如果没有找到,则搜索 Shared 文件夹) @Html.Partial("_test") //加载对应文件 /Vie ...

  10. www.jqhtml.com 前端框架特效

    www.jqhtml.com * 请选择课程 初级班 (PS.HTML.CSS.静态网站项目实战) 中级班 JavaScript基础.JavaScript DOM.jQuery.JS进阶.HTML5和 ...