logstash通过rsyslog对nginx的日志收集和分析

最新推荐文章于 2024-07-21 19:08:07 发布
最新推荐文章于 2024-07-21 19:08:07 发布
阅读量457 收藏
点赞数
本文介绍如何使用rsyslog将Nginx的日志直接同步到Logstash服务器进行分析,无需修改Nginx配置。同时提供了具体的rsyslog配置示例及Logstash配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

logstash通过rsyslog对nginx的日志收集和分析

http://bbotte.blog.51cto.com/6205307/1613571 logstash&elasticsearch&kibana的安装和配置

http://bbotte.blog.51cto.com/6205307/1614453   这一篇文章里面是以nginx打补丁的方式实现rsyslog把nginx的日志同步到logstash做分析,不过线上环境种种不一样,下面是把nginx的日志直接通过rsyslog同步到logstash服务器上,不用对nginx做更改,相对来说更简单明了。

nginx服务器端

nginx的配置文件不用改动,例子:

[root@db2 ~]# grep -v ^.*# /usr/local/nginx/conf/nginx.conf|sed '/^$/d' worker_processes 1;
events {  worker_connections 1024;
}
http {  include	   mime.types;  default_type  application/octet-stream;  log_format  main '$remote_addr - $remote_user [$time_local] "$request" '       '$status $body_bytes_sent "$http_referer" '       '"$http_user_agent" "$http_x_forwarded_for"';  sendfile		on;  keepalive_timeout 65;  server {   listen 80;   server_name  localhost; index index.html;
root /var/www;
access_log /var/log/nginx/access.log main;
error_log /var/log/nginx/error.log;   error_page 500 502 503 504 /50x.html;   location = /50x.html {    root   html;   }  }
}

rsyslog的配置

[root@db2 ~]# grep -v ^# /etc/rsyslog.conf|sed '/^$/d' $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # provides kernel logging support (previously done by rklogd) $ModLoad imfile # Load the imfile input module $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $IncludeConfig /etc/rsyslog.d/*.conf
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 *
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log $InputFileName /var/log/nginx/error.log $InputFileTag kibana-nginx-errorlog: $InputFileStateFile state-kibana-nginx-errorlog $InputRunFileMonitor $InputFileName /var/log/nginx/access.log $InputFileTag kibana-nginx-accesslog: $InputFileStateFile state-kibana-nginx-accesslog $InputRunFileMonitor $InputFilePollInterval 10 if $programname == 'kibana-nginx-errorlog' then @192.168.10.1:514 if $programname == 'kibana-nginx-errorlog' then ~ if $programname == 'kibana-nginx-accesslog' then @192.168.10.1:514 if $programname == 'kibana-nginx-accesslog' then ~
*.* @192.168.10.1:514

再把rsyslog服务重启

[root@db2 ~]# service rsyslog restart Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]

现在nginx的日志,已经同步到logstash服务器的/var/log/messages,如下图

logstash.conf 配置

input {
 file {
    type => "syslog" #    path => [ "/var/log/*.log", "/var/log/messages", "/var/log/syslog" ] path => [ "/var/log/messages" ]
    sincedb_path => "/var/sincedb" }
  redis {
    host => "192.168.10.1" type => "redis-input" data_type => "list" key => "logstash" }
  syslog {
    type => "syslog" port => "5544" }
}

filter {
  grok {
    type => "syslog" match => [ "message", "%{SYSLOGBASE2}" ]
    add_tag => [ "syslog", "grokked" ]
  }
}

output {
 elasticsearch { host => "192.168.10.1" }
}

nginx的日志:

Feb 26 14:41:47 db2 kibana-nginx-accesslog: 192.168.10.50 - - [26/Feb/2015:14:41:42 +0800] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64; Trident/7.0; rv:11.0) like Gecko LBBROWSER" "-"

logstash界面:

参考:

https://medium.com/@thomasdecaux/exploit-nginx-access-log-with-rsyslog-logstash-elasticsearch-and-kibana-48ab5c71b42d

https://blog.basefarm.com/blog/how-to-install-logstash-with-kibana-interface-on-rhel/

mtm2012
关注
logstash grok 解析Nginx
zhaoyangjian724的专栏
08-29 3692
log_format main '$remote_addr [$time_local] "$request" ' '$request_body $status $body_bytes_sent "$http_referer" "$http_user_agent" ' '$request_time $upst
说说采集Nginx日志的几种方式
yihuliunian的博客
06-20 374
转载自品略图书馆http://www.pinlue.com/article/2020/03/2910/3810065066804.html 由于nginx功能强大,性能突出,越来越多的web应用采用nginx作为http反向代理的web服务器。而nginx的访问日志不管是做用户行为分析还是安全分析都是非常重要的数据源之一。 如何有效便捷的采集nginx日志进行有效的分析成为大家关注的问题。本文通过几个实例来介绍如何通过filebeat、logstashrsyslog采集nginx的访问日志..
ELK 处理分析日志(nginx,syslog)
weixin_30770783的博客
05-05 259
ELK 处理分析日志(nginx,syslog) 官方网站: www.elastic.co http://kibana.logstash.es/content/logstash/get_start/index.html 环境: CentOS 7.1 x64 elasticsearch-2.3.2 logstash-2.3.2(或logstash-all-...
Nginx配置日志rsyslog
最新发布
qq_36124713的博客
07-21 2358
nginx配置日志输出到rsyslog;使用docker-compose安装tengine服务;rsyslog的配置使用;
Nginx采集日志的几种方式
hdxx2022的博客
03-18 1777
由于nginx功能强大,性能突出,越来越多的web应用采用nginx作为http反向代理的器。而nginx的访问日志不管是做用户行为分析还是安全分析都是非常重要的数据源之一。如何有效便捷的采集nginx日志进行有效的分析成为大家关注的问题。本文通过几个实例来介绍如何通过filebeat、logstashrsyslog采集nginx的访问日志错误日志。大家都知道ELK技术栈是采集、分析日志的利器。所以这里介绍的是从nginx采集日志到ES。当然至于日志采集以后存到看大家的需要。
nignx-日志-定时备份同步到其他服务的脚本
菜鸡在路上找食吃
03-19 839
为了密评而定时将nginx日志按照月处理,然后定时同步到其他服务器上…
Nginx日志发送到Rsyslog,并存储到MySQL
hzzzzzzx的博客
04-28 1052
背景 官网试运行一段时间了,客户说要在后台补一个日志访问量统计的功能,可视化显示,然后分析浏览量访问量。 技术实现 使用Nginx配置指定格式的日志,发送到syslog服务器 syslog服务器接收到日志,存储到MySQL数据库 后台定时任务从MySQL库中采集数据并解析,每五分钟跑一次 后台接口查询解析后的数据,分析浏览量访问量 日志传输 遇到的问题主要还是在日志传输上,其他地方没有什么难点,还有一点就是需要考虑采集的数据过多时如果处理 ...
centos7,客户端使用rsyslog进行日志传输,服务端使用logstash收集
qq_40673345的博客
01-06 1217
客户端配置rsyslog(centos自带rsyslog,不需要另外下载) vim /etc/rsyslog.conf #### MODULES #### $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # provides ...
如何配置Nginx以实现远程日志收集
长风破浪会有时的博客
05-31 525
你有一个本子(Nginx日志文件),用来记录每位顾客的信息。但现在,你想把这个本子里的内容每天都告诉给你的朋友(远程日志服务器),让他帮你保存整理。现在,每当有顾客来你的小店(Nginx有新的访问日志或错误日志)时,店员(Nginx)就会把这些信息告诉信使(rsyslog),然后信使会把这些信息传递给你的朋友(远程的日志服务器)。如果你使用的是其他日志系统或有其他需求,这个地址可能会有所不同。要实现Nginx的远程日志收集,我们通常会将Nginx日志发送到远程的日志服务器,比如使用。
万字长文利用ELK+kafka分析Nginx日志生产实战(高清多图)
Richardlygo的博客
11-25 580
一、服务介绍 1.1、ELK ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、...
Logstash:如何在 Ubuntu 上使用 RsyslogLogstash Elasticsearch 集中日志
Elastic 中国社区官方博客
08-04 1948
在我之前的一篇文章 “Beats:使用 Linux 系统上的 Rsyslog 收集日志并导入 Elasticsearch”,我讲述了如何使用 Rsyslog 在 Linux 系统上收集日志并发送到 Elasticsearch 中。在那个解决方案里,我们配置Rsyslog 为一个 client 模式,并发送日志到 Elasticsearch 中。我们在 Logstash 里对日志进行结构化。 在今天的文章中,我将使用另外一种方式。我们把 Rsyslog 同时配置为 server 及 client 模式。通.
配置rsysloglogstash_syslog+rsyslog+logstash+elasticsearch+kibana搭建日志收集
weixin_39576270的博客
12-20 290
最近rancher平台上docker日志收集捣腾挺久的,尤其在配置上,特写下记录Unix/Linux系统中的大部分日志都是通过一种叫做syslog的机制产生维护的。syslog是一种标准的协议,分为客户端服务器端,客户端是产生日志消息的一方,而服务器端负责接收客户端发送来的日志消息,并做出保存到特定的日志文件中或者其他方式的处理。ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安...
配置rsyslog
weixin_34357928的博客
11-14 179
什么是日志文件系统?记录系统在什么时候由哪个进程做了什么行为时,发生了何种的事件等。centos提供rsyslogd这个服务来统一管理日志文件。rsyslog的配置文件/etc/rsyslog.conf,此文件规定了什么服务的什么等级信息以及需要被记录在哪里。1.服务名称authpriv 与认证有关的机制cron 列行性工作调度daemon 与各个daemon有关...
rsyslog转发nginx日志rsyslog发送到logstashh)
weixin_34242509的博客
03-31 743
收集系统其它服务日志,在客户端上操作,以nginx服务的日志为例先修改配置文件 /etc/rsyslog.conf,内容如下:#grep -v "^$" /etc/rsyslog.conf | grep -v "^#"$ModLoadimuxsock#providessupportforlocalsystemlogging(e.g.vialogger...
nginx 通过rsyslog日志 rsyslog服务器挂掉 日志丢失问题
weixin_30654419的博客
08-10 260
nginx 配置: user nginx; worker_processes 1; syslog local5 nginx-zjzc01; rsyslog 服务器收到的消息: -rw-r--r-- 1 root root 190 Aug 10 16:08 aa.log zjtest7-frontend:/tmp# cat aa.log Aug 10 16:10:02 jrh...
logstash 处理nginx 访问日志
weixin_30883271的博客
08-24 188
[root@dr-mysql01 frontend]# cat logstash_frontend.conf input { file { type => "zj_frontend_access" path => ["/data01/applog_backup/zjzc_log/zj-fronte...
rsyslog 同时发生nginx 访问日志错误日志
zhaoyangjian724的专栏
08-24 1180
input(type="imfile" File="/var/log/nginx/access.log" Tag="zjzc-frontend01-access" Severity="info" Facility="local5") input(type="imfile" File="/var/log/nginx/error.log" Tag="zjzc-frontend01-error" S
Logstash -- Nginx 日志收集处理!
zxf_668899的博客
12-30 9653
Nginx 日志收集示例一:Logstash 默认自带了 apache 标准日志的 grok 正则:COMMONAPACHELOG %{IPORHOST:clientip} %{USER:ident} %{NOTSPACE:auth} \[%{HTTPDATE:timestamp}\] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:htt
Nginx日志管理:一键实现日志切割脚本详解
除了编写脚本实现日志切割外,对于大型的分布式系统或高流量网站,还可能需要集成日志管理系统,如ELK(Elasticsearch, Logstash, Kibana)堆栈,实现日志的集中管理、实时分析可视化。 综上所述,Nginx日志文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值