分析!手把手教您用 ELK 分析 Nginx 日志
|
file:行使file 作为输入源 path: 日记的路径,支持/var/log.log,及[ “/var/log/messages”, “/var/log/.log” ] 名目 start_position: 从文件的开始读取变乱。 其它尚有end参数 ignore_older: 忽略早于24小时(默认值86400)的日记,设为0,即封锁该成果,以防备文件中的变乱因为是早期的被logstash所忽略。 filter段: grok:数据布局化转换器材 match: 匹配前提名目,将nginx日记作为message变量,并应用grok前提NGINXACCESS举办转换 geoip: 该过滤器从geoip中匹配ip字段,表现该ip的地理位置 source: ip来历字段,这里我们选择的是日记文件中的最后一个字段,假如你的是默认的nginx日记,选择第一个字段即可(注: 这里写的字段是/opt/logstash/patterns/nginx 内里界说转换后的) target: 指定插入的logstash字断方针存储为geoip database: geoip数据库的存放路径 add_field: 增进的字段,坐标经度 add_field: 增进的字段,坐标纬度 mutate:数据的修改、删除、范例转换 convert:将坐标转为float范例 convert:http的相应代码字段转换成 int convert:http的传输字节转换成int replace:替代一个字段 remove_field:移除message 的内容,由于数据已颠末滤了一份,这里不必在用到该字段了。否则会相等于存两份 date: 时刻处理赏罚,该插件很适用,首要是用你日记文件中变乱的变乱来对timestamp举办转换,导入老的数据必备!在这里曾让我狐疑了好久哦。别再掉坑了 match:匹配到timestamp字段后,修改名目为dd/MMM/yyyy:HH:mm:ss Z mutate:数据修改 remove_field:移除timestamp字段。 output段: elasticsearch:输出到es中 host:es的主机ip+端口可能es 的FQDN+端口 index:为日记建设索引logstash-nginx-access-*,这里也就是kibana哪里添加索引时的名称 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
