一、概述
使用ELK收集nginx access日志,利用Grafana做出一套可視化圖表,效果圖如下:
https://ae01.alicdn.com/kf/H1f4fb17500f244859f10ee0702b4d701q.png
二、環境准備
環境說明
操作系統:centos 7.6
docker版本:19.03.12
ip地址:192.168.31.196
elk搭建
關於elk的搭建,請參考以下3篇文章:
nginx安裝
線上nginx直接用yum安裝的
yum install -y nginx
三、nginx日志格式
默認的nginx日志格式,需要改為指定的格式
http { log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; log_format aka_logs '{"@timestamp":"$time_iso8601",' '"host":"$hostname",' '"server_ip":"$server_addr",' '"client_ip":"$remote_addr",' '"xff":"$http_x_forwarded_for",' '"domain":"$host",' '"url":"$uri",' '"referer":"$http_referer",' '"args":"$args",' '"upstreamtime":"$upstream_response_time",' '"responsetime":"$request_time",' '"request_method":"$request_method",' '"status":"$status",' '"size":"$body_bytes_sent",' '"request_body":"$request_body",' '"request_length":"$request_length",' '"protocol":"$server_protocol",' '"upstreamhost":"$upstream_addr",' '"file_dir":"$request_filename",' '"http_user_agent":"$http_user_agent"' '}'; #access_log /var/log/nginx/access.log main; access_log /var/log/nginx/access.log aka_logs;
注意:這里的nginx的所有訪問日志,統一在/var/log/nginx/access.log。
如果你的環境,單獨為每一個虛擬主機分配了access日志,那么就需要在對應的虛擬主機配置文件,應用格式aka_logs即可。
四、logstash配置
注意:由於本文,直接使用logstash采集nginx日志,並發送給elasticsearch。
如果是使用filebeat收集nginx日志,請查閱參考文章中的配置說明。
nginx.conf
新建文件nginx.conf
/data/elk7/logstash/config/conf.d/nginx.conf
內容如下:
input { file { ## 修改你環境nginx日志路徑 path => "/var/log/nginx/access.log" ignore_older => 0 codec => json } } filter { geoip { #multiLang => "zh-CN" target => "geoip" source => "client_ip" database => "/usr/share/logstash/GeoLite2-City.mmdb" add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ] add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ] # 去掉顯示 geoip 顯示的多余信息 remove_field => ["[geoip][latitude]", "[geoip][longitude]", "[geoip][country_code]", "[geoip][country_code2]", "[geoip][country_code3]", "[geoip][timezone]", "[geoip][continent_code]", "[geoip][region_code]"] } mutate { convert => [ "size", "integer" ] convert => [ "status", "integer" ] convert => [ "responsetime", "float" ] convert => [ "upstreamtime", "float" ] convert => [ "[geoip][coordinates]", "float" ] # 過濾 filebeat 沒用的字段,這里過濾的字段要考慮好輸出到es的,否則過濾了就沒法做判斷 remove_field => [ "ecs","agent","host","cloud","@version","input","logs_type" ] } # 根據http_user_agent來自動處理區分用戶客戶端系統與版本 useragent { source => "http_user_agent" target => "ua" # 過濾useragent沒用的字段 remove_field => [ "[ua][minor]","[ua][major]","[ua][build]","[ua][patch]","[ua][os_minor]","[ua][os_major]" ] } } output { elasticsearch { hosts => "192.168.31.196" #user => "elastic" #password => "password" index => "logstash-nginx-%{+YYYY.MM.dd}" } }
注意2個位置:
/usr/share/logstash/GeoLite2-City.mmdb,這個是地圖數據文件
elasticsearch {xx} 這里填寫elasticsearch信息,由於我的elasticsearch 沒有開啟認證,因此不需要用戶名和密碼,請根據實際情況填寫。
GeoLite2-City.mmdb
GeoLite2-City.mmdb是IP信息解析和地理定位的。官方下載是需要收費的,因此我找了一個免費下載地址。
下載地址1:https://pan.baidu.com/s/1sjtdvPV
備用下載地址:
鏈接:https://pan.baidu.com/s/1eJkDqq2nvV3vETyUfOBypw
提取碼:2jq5
下載完成后,將此文件,上傳到/data/elk7/logstash目錄,待會啟動logstash,就會掛載進去。
以新的方式啟動logstash
docker rm -f logstash docker run -d \ --name=logstash \ --restart=always \ -p 5044:5044 \ -v /data/elk7/logstash:/usr/share/logstash \ -v /var/log/messages:/var/log/messages \ -v /var/log/nginx:/var/log/nginx \ logstash:7.5.1
等待30秒,查看logstash日志是否有錯誤
docker logs -f logstash
訪問head插件,查看索引是否生成
http://192.168.31.196:9100/
有出現logstash-nginx 索引,說明成功了。
五、Grafana配置
關於grafana的安裝,請參考鏈接:
https://www.cnblogs.com/xiao987334176/p/9930517.html
添加數據源
添加elasticsearch數據源,這里輸入elasticsearch的url
如果elasticsearch需要認證,在下面的Auth設置中,Basic auth開啟,輸入用戶名和密碼。
輸入索引值,時間戳,選擇版本:7.0+
如果測試通過,則會添加成功。
安裝插件
進入grafana容器,安裝2個插件,用來支持展示圖表的。
grafana-cli plugins install grafana-piechart-panel grafana-cli plugins install grafana-worldmap-panel
重啟grafana
docker restart grafana
導入模板
模板下載地址為:https://grafana.com/grafana/dashboards/11190
下載最新版本,導入json文件,選擇2個數據源
查看效果
刷新頁面,效果如下:
本次參考鏈接:https://grafana.com/grafana/dashboards/11190