这个案例中,tomcat产生的日志由filebeat收集,然后存取到redis中,再由logstash进行过滤清洗等操作,最后由elasticsearch存储索引并由kibana进行展示。

1、配置tomcat自定义日志

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"

               prefix="localhost_access_log" suffix=".log"

               pattern="{&quot;client_ip&quot;:&quot;%{X-Forwarded-For}i&quot;,&quot;direct_ip&quot;:&quot;%a&quot;,&quot;client user&quot;:&quot;%l&quot;,&quot;authenticated&quot;:&quot;%u&quot;,&quot;timestamp&quot;:&quot;%{yyyy-MM-dd HH:mm:ss Z}t&quot;,&quot;request_method&quot;:&quot;%m&quot;,&quot;URI&quot;:&quot;%U&quot;,&quot;Protocol&quot;:&quot;%H&quot;,&quot;status&quot;:&quot;%s&quot;,&quot;send bytes&quot;:&quot;%B&quot;,&quot;Query?string&quot;:&quot;%q&quot;,&quot;Referer&quot;:&quot;%{Referer}i&quot;,&quot;Agent version&quot;:&quot;%{User-Agent}i&quot;}"/>

需要注意的是第一个X-Forwarded-For表示获取一个ip列表,但只有第一个ip是真正的客户端ip,不过如果没有代理,直接访问tomcat,真正的ip是direct_ip。还有一个是时间格式,这里采用自定义时间格式,没有使用“%t”参数。

2、配置filebeat

- type: log

  # Change to true to enable this input configuration.

  enabled: true

  # Paths that should be crawled and fetched. Glob based paths.

  paths:

    - /usr/local/tomcat/logs/localhost_access_log.*.log

    #- c:\programdata\elasticsearch\logs\*

  document_type: tomcat-accesslog
output.redis:

        enable: true

        hosts: ["172.16.0.54:6379"]

        db:

        timeout:

        key: tomcat_accesslog_filter_index

        password:

3、配置mysql

1)安装mariadb-server以及创建用户并授权访问mysql(最好不使用root用户)。

2)安装驱动步骤

先下载mysql-connector-java驱动:wget https://cdn.mysql.com//Downloads/Connector-J/mysql-connector-java-5.1.47.tar.gz

然后在/usr/local/logstash/vendor目录下创建目录“(我这里是源码安装的logstash)

mkdir -pv  /usr/local/logstash/vendor/jar/jdbc

将上面的mysql驱动包(带有bin关键字的那个)移动到此目录下。

3)安装gem

yum install gem -y

然后配置gem源

gem sources --remove https://rubygems.org/ //或者

gem sources --add http://gems.ruby-china.com/

最后安装插件

cd /usr/local/logstash/bin

./logstash-plugin install logstash-output-jdbc

最后验证是否安装成功

/usr/local/logstash/bin/logstash-plugin | grep jdbc

[root@ELK-chaofeng07 logstash]# /usr/local/logstash/bin/logstash-plugin list | grep jdbc
logstash-input-jdbc
logstash-output-jdbc

4)进行配置logstash的配置文件,以.conf结尾即可

input{

        redis {

                host =>"172.16.0.54"

                port =>

                data_type => "list"

                db => ""

                password => ""

                key => "tomcat_accesslog_filter_index"

                codec => "json"

                add_field => {

                        "[@metadata][mytomcat]" => "tomcat_accesslog_filter_log"

                }

        }

}

filter {

        if [@metadata][mytomcat] == "tomcat_accesslog_filter_log" {

                mutate {

                        gsub => ["message","\\x","\\\x"]

                }

                if ( 'method":"HEAD' in [message] ) {

                        drop{}

                }

                json {

                        source => "message"

                        add_field => {"[@metadata][direct_ip]" => "%{direct_ip}"}

                        remove_field => "message"

                        remove_field => "prospector"

                        remove_field => "beat"

                        remove_field => "host"

                        remove_field => "input"

                        remove_field => "source"

                        remove_field => "offset"

                        remove_field => "fields"

                        remove_field => "@version"

                }

                date {

                        match => [ "timestamp","yyyy-MM-dd HH:mm:ss Z" ]

                }

mutate {

                        split => ["client_ip",","]

                }

                mutate {

                        convert => ["body_bytes_sent","integer"]

                        convert => ["total_bytes_sent","integer"]

                }

                mutate {

                        replace => { "client_ip" => "%{client_ip[0]}"}

                }

                if [client_ip] == "-" {

                        if [@metadata][direct_ip] not in ["%{direct_ip}","-"]{

                                mutate {

                                        replace => { "client_ip" => "%{direct_ip}" }

                                }

                        } else {

                                drop {}

                        }

                }

                geoip {

                        source => "client_ip"

                        target => ["geoip"]

                        add_field => ["[geoip][coordinates]", "%{[geoip][longitude]}"]

                        add_field => ["[geoip][coordinates]", "%{[geoip][latitude]}"]

                }

                mutate {

                        convert => ["[geoip][coordinates]","float"]

                }

                mutate {

                        remove_field => ["direct_ip"]

                        remove_field => ["timestamp"]

                }

        }

}

output{

        if "_grokparsefailure" not in [tags] and "_dateparsefailure" not in [tags] and "_geoip_lookup_failure" not in [tags] {

           jdbc{

              connection_string => "jdbc:mysql://172.16.0.57:3306/elk?user=chaofeng&password=123456&useUnicode=true&characterEncoding=UTF8"

              statement => ["INSERT INTO elklog(client_ip)VALUES(?)","client_ip"]

           }

           stdout{

                codec => rubydebug

           }

}

5)在mysql中创建数据库和表以及表结构

创建的数据库是:elk

创建的表是:elklog

表结构如下:

MariaDB [elk]> desc elklog;

+-----------+-------------+------+-----+---------+-------+

| Field     | Type        | Null | Key | Default | Extra |

+-----------+-------------+------+-----+---------+-------+

| client_ip | varchar() | YES  |     | NULL    |       |

+-----------+-------------+------+-----+---------+-------+

 row in set (0.01 sec)

(6)效果图

难点:tomcat中的时间最好也进行自定义格式化,不然不好整

ELK收集tomcat访问日志并存取mysql数据库案例的更多相关文章

  1. ELK之收集tomcat访问日志

    把tomcat访问日志转换成json格式然后收集 修改配置文件conf/server.xml把日志输出改成json格式 添加logstash配置文件(日志按天切割可以使用*进行匹配所有)

  2. elk收集tomcat的日志

    logstash收集tomcat的日志 不要修改下tomcat中server.xml的日志格式,否则tomcat无法启动,试过多次,不行,就用自带的日志让logstash去收集 首先给tomcat日志 ...

  3. ELK收集tomcat状态日志

    1.先查看之前的状态日志输出格式:在logs/catalina.out这个文件中 最上面的日志格式我们可能不太习惯使用,所以能输出下面的格式是最好的,当然需要我们自定义日志格式,接下来看看如何修改 2 ...

  4. elk收集tomcat日志

    1.elk收集tomcat普通日志: 只在logstash节点增加如下文件,重启logstash即可: cat >>/home/logstash-6.3.0/config/tomcat_t ...

  5. ELK 收集 Tomcat日志以及修改Tomcat日志格式

    ELK 收集 Tomcat日志以及修改Tomcat日志格式 Tomcat日志 想要收集tomcat 日志 首先我们要对tomcat的日志有足够的了解 tomca日志分类 简单的说tomcat logs ...

  6. logstash收集nginx访问日志

    logstash收集nginx访问日志 安装nginx #直接yum安装: [root@elk-node1 ~]# yum install nginx -y 官方文档:http://nginx.org ...

  7. Tomcat访问日志详细配置

    在server.xml里的<host>标签下加上 <Valve className="org.apache.catalina.valves.AccessLogValve&q ...

  8. linux系统tomcat项目部署和tomcat访问日志

    一.只用ip地址访问 先把端口号改成80,然后用 <Host name="localhost"  appBase="webapps"    137     ...

  9. Tomcat访问日志详细配置(转)

    在server.xml里的<host>标签下加上<Valve className="org.apache.catalina.valves.AccessLogValve&qu ...

随机推荐

  1. gcc:call to '__open_missing_mode' declared with attribute error

    因为使用 open 函数的时候,如果在第二个参数中使用了 O_CREAT,就必须添加第三个参数:创建文件时赋予的初始权限.这个取决于 gcc 的版本,有的版本不会报这个错误. 解决办法: 找到源码中报 ...

  2. ARM 处理器寻址方式之间接寻址的几种表达

    我们以 LDR 指令为例来分别举例分析. LDR 指令的格式为: LDR{条件} 目的寄存器,<存储器地址> LDR 指令是字加载指令,用于从存储器中将一个 32 位的字数据送到目的寄存器 ...

  3. SVN 安装后右键出现点击鼠标右键弹出错误提示:CrashHandler initialization error

    SVN 安装后右键出现点击鼠标右键弹出错误提示:CrashHandler initialization error 原因是目标文件夹中缺少SendRpt.exe文件 解决方案:找svn是好的的同事将b ...

  4. c#的WebService和调用

    WebService: 1.新建一个空白web应用程序 2.在上面建立的web应用程序添加web服务 4.保存发布至 IIS Client: 1.新建一个程序(可以是winform.控制台.web) ...

  5. Entity Framework Code first(转载)

    一.Entity Framework Code first(代码优先)使用过程 1.1Entity Framework 代码优先简介 不得不提Entity Framework Code First这个 ...

  6. Android Material Design控件使用(二)——FloatButton TextInputEditText TextInputLayout 按钮和输入框

    FloatingActionButton 1. 使用FloatingActionButton的情形 FAB代表一个App或一个页面中最主要的操作,如果一个App的每个页面都有FAB,则通常表示该App ...

  7. 【Java每日一题】20170214

    20170213问题解析请点击今日问题下方的“[Java每日一题]20170214”查看(问题解析在公众号首发,公众号ID:weknow619) package Feb2017; public cla ...

  8. Netty 系列八(基于 WebSocket 的简单聊天室).

    一.前言 之前写过一篇 Spring 集成 WebSocket 协议的文章 —— Spring消息之WebSocket ,所以对于 WebSocket 协议的介绍就不多说了,可以参考这篇文章.这里只做 ...

  9. 汇编语言--微机CPU的指令系统(五)(标志位操作指令)

    (2)标志位操作指令 标志位操作指令是一组对标志位置位.复位.保存和恢复等操作的指令. 1.进位CF操作指令 Ø 清进位指令CLC(Clear Carry Flag):CF←0 Ø 置进位指令STC( ...

  10. layui 弹窗的iframe 父子界面相互传值

    1.父界面向子界面传值 [1].父界面打开子界面: function show_layer(){ layer.open({ type: 2, area: [w+'px', h +'px'], fix: ...