presto + kafka + logstash 实时监控分析nginx日志

最新推荐文章于 2023-08-08 01:36:15 发布
最新推荐文章于 2023-08-08 01:36:15 发布
阅读量475 收藏
点赞数
分类专栏: hadoop presto 文章标签: kafka nginx presto 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44144932/article/details/115996106
版权
本文介绍了如何利用Logstash解析Nginx日志,通过Kafka传递到Presto进行实时监控分析,包括响应情况、请求路径流量、请求时间和参数监控。详细配置了Logstash和Presto的设置,通过Presto的Kafka连接器实现数据查询和统计分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

目前线上环境nginx日志一天10亿左右,日志已经实时放入kafka队列中,想实时监控分析, 首先,理清我们的需求:

1.实时监控 reponse的情况
2.实时监控 request path 的流量变化
3.实时监控 请求时间
4.从request 里面解析其中的参数,监控变化量

上面最难的是从request解析指定的字段出来做监控,这里必须经过一次解析后才能做统计

想了几种方案:

  1. 最先想到的是搭建ES集群,利用ES集群实现实时聚合搜索
  2. 利用现在流行的flink spark storm 等实时流处理方案
  3. 利用现有的presto ,实现presto on kafka

一、方案选取

根据我们现有的实际情况,不方便增加更多的机器,也没有人专门写代码,所以选择了第3种
 kafka -->  logstash --> kafka  --> presto

二、各项配置

1.logstash配置

配置文件如下:


# 我们的nginx日志是按照竖线分割的  xx|xx|x|x|
input {
	kafka {
		topics   => "nginx"
		group_id => "logstash"
		bootstrap_servers => "192.168.x.xx:9092"
		codec => "plain"
	}
}

filter{
# 提取需要的字段,不是每个字段都用到了
  mutate {
        split => { "message" => "|" }
        add_field => { 
            "time"   => "%{[message][3]}" 
            "request" => "%{[message][7]}" 
            "response" => "%{[message][9]}" 
            "req_length" => "%{[message][5]}" 
            "bytes" => "%{[message][10]}" 
            "up_addr" => "%{[message][17]}" 
        }
        remove_field => [ "message" ]
    }

#   path?a=xx&b=xx&uuid=xxx&c=xx 
#   解析request ,这里是提取了uuid 
 kv {
    source => "request"
    field_split => "&?"
    target => "kv"
    include_keys => ["uuid"]
 }

# 提取path字段,不要后面的参数,我们想统计那个path访问最多
 mutate {
    split => {"request" => "?" }
    add_field => { "req_url" => "%{[request][0]}"  }
    remove_field => ["request"]
 }

#使用nginx 日志时间替换timestamp

 date {
   match => [ "timet" , "[dd/MMM/YYYY:HH:mm:ss Z]"]
   timezone => "+08:00"
   target => "@timestamp"
   locale => "en"
 }
# 增加一个字段,将timestamp转换为long类型
 ruby{
    code => "event.set('unix_ms_time',(event.get('@timestamp').to_f.round(3)*1000).to_i)"
 }
}

output{
#stdout{}
    kafka {
	    bootstrap_servers => "192.168.1.xx:9092"
        codec => json
	    topic_id => "nginxlog"
	}	
}

处理后的消息为:

{
  "req_len": "1096",
  "response": "200",
  "req_url": "/get/api",
  "unix_ms_time": 1618912479000,
  "@timestamp": "2021-04-20T09:54:39.000Z",
  "bytes": "46",
  "time": "[20/Apr/2021:17:54:39 +0800]",
  "up_addr": "192.168.16.62:8080",
  "kv": {
    "uuid": "898767826552698"
  },
  "@version": "1"
}

经过logstash解析后,提取了我们需要的信息,大大减少了无用的信息,此时可以使用presto on kafka直接查询了

2.presto 增加kafka connector

参考:https://prestodb.io/docs/current/connector.html

在presto catalog 目录下增加 kafka.properties文件

connector.name=kafka
kafka.nodes=192.168.xx.xx:9092
kafka.table-names=nginxlog
kafka.hide-internal-columns=false

在presto的etc目录下新建kafka目录,在kafka目录下新建nginxlog.json

{
  "tableName": "nginxlog",
  "schemaName": "default",
  "topicName": "nginxlog",
  "message": {
    "dataFormat": "json",
    "fields": [
      {
        "name": "req_leng",
        "mapping": "req_len",
        "type": "VARCHAR"
      },
      {
        "name": "bytes",
        "mapping": "bytes",
        "type": "VARCHAR"
      },
     {
        "name": "response",
        "mapping": "response",
        "type": "VARCHAR"
      },
      {
        "name": "req_url",
        "mapping": "req_url",
        "type": "VARCHAR"
      },

      {
        "name": "time_ms",
        "mapping": "unix_ms_time",
        "type": "BIGINT"
      },
      {
        "name": "up_addr",
        "mapping": "up_addr",
        "type": "VARCHAR"
      },
      {
        "name": "kv",
        "mapping": "kv",
        "type": "VARCHAR"
      }

    ]
  }
}

重启presto server

3. 分析监控

 bin/presto  --server localhost:8080    --catalog kafka --schema default


      Column       |  Type   | Extra |                   Comment                   
-------------------+---------+-------+---------------------------------------------
 req_len           | varchar |       |                                             
 bytes             | varchar |       |                                             
 response          | varchar |       |                                             
 req_url           | varchar |       |                                             
 time_ms           | bigint  |       |                                             
 up_addr           | varchar |       |                                             
 kv                | varchar |       |                                             
 _partition_id     | bigint  |       | Partition Id                                
 _partition_offset | bigint  |       | Offset for the message within the partition 
 _message_corrupt  | boolean |       | Message data is corrupt                     
 _message          | varchar |       | Message text                                
 _message_length   | bigint  |       | Total number of message bytes               
 _key_corrupt      | boolean |       | Key data is corrupt                         
 _key              | varchar |       | Key text                                    
 _key_length       | bigint  |       | Total number of key bytes                   
 _timestamp        | bigint  |       | Offset Timestamp                            
(16 rows)

短横线开头的是默认的字段
_timestamp 表示了进入kafka的时间
_partition_id 表示在哪个分区

这样,如果我们就可以使用sql 直接进行统计分析了

-- 求response的分布
select count(*) as total,response  from nginxlog where  _timestamp > xx and _timestamp  < xx and _partition_id =x  group by response order by total desc;
-- 求一段时间内访问path分布
select count(*) as total,req_url from nginxlog where  _timestamp > xx and _timestamp  < xx and _partition_id =x  group by req_url  order by total desc;

总结

这里我们的nginx日志每秒才1W多条,然后kafka分了10partition,我们只取一个分区进行抽样分析也是很快的 ,当nginx 日志更大的时候,可能用presto查询就没有那么快了,到时候可能需要ES集群,splunk ,Loki 等专门的日志软件才能满足需求了,大家有更好的方案可以一起讨论讨论。
大数据ETL工具比较:Sqoop vs Flume vs Kafka
AI天才研究院
04-22 923
随着企业数字化转型加速,数据规模呈指数级增长,数据来源从传统关系型数据库扩展到日志、IoT传感器、用户行为等多模态场景。ETL作为数据管道的核心组件,其工具选择直接影响数据处理的效率与可靠性。本文聚焦大数据领域最常用的三款ETL工具——Sqoop、Flume、Kafka,系统对比其技术特性、适用场景及最佳实践,覆盖从基础概念到实战落地的全流程。第2章解析核心概念与架构,通过Mermaid图可视化三者的技术架构;第3章深入算法原理,结合代码示例说明关键机制;
解读大数据领域数据产品的架构设计
最新发布
AI天才研究院
04-25 1228
随着企业数字化转型的深入,数据已从“辅助工具”升级为“核心资产”。大数据产品(如用户行为分析平台、实时风控系统、智能推荐引擎)的价值不仅在于存储数据,更在于通过高效架构设计实现“数据→信息→知识→决策”的闭环。本文聚焦大数据产品的架构设计,覆盖从需求分析到落地实施的全流程,重点解析分层架构模型、关键技术选型及实战经验。核心概念:定义数据产品与大数据架构,区分传统软件架构的差异。分层架构模型:解析采集、存储、计算、服务、应用五层设计。关键技术模块:ETL/ELT、流批一体、数据治理等核心技术。
presto读取kafka数据
sinat_27545249的博客
10-22 7019
1- 1-1 配置方法 1-1-1 catalog配置 1-1-2 schema配置 1-2 启动和使用 1-3 源码分析1-3-1 metadata 1-3-2 任务切分 1-3-3 数据读取1-今天分析一下prestokafka connector的主要原理和源码 1-1 配置方法1-1-1 catalog配置connector.name=kafka kafka.nodes=localhost
(四)presto集成kafka
hyj
11-18 1629
一、集成之前 1、启动zookeeper 2、启动kafka 3、查看kafka有哪些主题 [root@master bin]# ./kafka-topics.sh --list --zookeeper master:2181,slaves1:2181,slaves2:2181 topic_walkCount mytest mytopic 4、选择一个主题进行数据写入 [root@master bin]# ./kafka-console-producer.sh --broker-list
logstash之codec监控nginx日志
传智燕青
11-24 409
Codec 来自 Coder/decoder 两个单词的首字母缩写,Logstash 不只是一个input | filter | output 的数据流, 而是一个input | decode | filter | encode | output 的数据流,codec 就是用来decode、encode 事件的。 简单说,就是在logstash读入的时候,通过codec编码解析日志为相应格式,从l...
PrestoSQL-345集群连接Kafka2.2.1
TT-Learning
11-17 851
文章目录1.Ambari 集群环境2.Kafka 导入数据3.Presto 配置4.执行数据查询操作5.添加 topic 描述文件6.将kafka topic中所有值映射到列上 1.Ambari 集群环境 部署Kafka组件,zookeeper组件,并启动。 2.Kafka 导入数据 在Ambari集群节点执行: 下载:curl -o kafka-tpch https://repo1.maven.org/maven2/de/softwareforge/kafka_tpch_0811/1.0/kafka_t
logstash nginx 访问日志
weixin_30507481的博客
08-30 140
log_format main '$remote_addr [$time_local] "$request" ' '$request_body $status $body_bytes_sent "$http_referer" "$http_user_agent" ' '$request_tim...
日志管理进阶】:利用日志分析优化3DEXPERIENCE R2019x_GA性能和服务的终极指南
![【日志管理进阶】:利用日志分析优化3DEXPERIENCE R2019x_GA性能和服务的终极指南]...接着,详细介绍了日志分析工具和技术,包括内置与第三方工具的比较和高级日志分析技术的挑战。进一步探讨了日
开源数据平台构建:从0到1搭建企业级数据平台系统
AI天才研究院
08-08 2060
数据平台作为业务数据的重要基础设施,其提供的数据服务和分析能力已成为公司各部门协同工作、高效沟通、提升工作效率的关键。然而,由于不同行业领域需求的差异性、不同数据规模和复杂度等多种因素的影响,制造出具有高质量、低延迟、易扩展、可靠、安全、易用的数据平台也面临着巨大的挑战。近年来,随着云计算、容器技术和微服务架构的普及,基于开源解决方案构建数据平台这一需求越来越受到社会的广泛关注,数据平台构建成本越来越低,市场竞争日益激烈。
分布式系统性能优化:10大实践案例分析
重点分析了分布式系统设计模式的重要性、负载均衡、缓存策略、数据存储性能优化、数据一致性与同步机制、大数据处理、微服务架构、容器化技术、服务降级与熔断机制,以及监控策略和故障处理等关键环节。文章还强调了...
presto kafka_presto技术文档
weixin_39668408的博客
11-21 384
是一个开源的分布式Sql查询引擎,数据量支持到GB到PB级别,主要用处理秒级查询的场景注意:虽然Presto可以解析SQL,但它不是一个标准的数据库,不是mysql,Oracle的替代品,也不能用来处理自爱西安事务(OLTP)Presto的架构由一个Croodinator和多个Worker组成•Presto Coordinator–是主架构–用来接受客户端的请求(解析sql)–发送给Presto ...
ELK总结——第三篇Logstash监控Nginx日志存入redis,实现服务解耦
yunweimao的博客
12-09 384
1、安装nginx[root@elasticsearch-01 ~]# yum install nginx2、修改nginx日志文件以json的格式输出##添加 13 ...
logstash ngixn mysql_配置 logstash 监控 nginx access log 写入 mysql
weixin_39604276的博客
01-19 406
在存储能力和数据量有限的情况下,我们可以选择 MySQL 来进行简单的数据存储和分析Logstash 支持监听文件更新,并可以解析日志后写入 MySQL 数据库。使用 Logstash 可以免去繁琐的开发流程,快速实现旁路日志监控上报功能。要使用 Logstash 监控 Nginx access log 转储到 MySQL 中,需要用到 Logstash 的3个插件。即 file input p...
ELK企业应用-elk监控nginx(二)logstash配置
谦怀
09-21 613
ELK企业应用-elk监控nginx(二)logstash配置 1、编写正则表达式 根据日志结构,编写正则表达式,存储在/etc/logstash/patterns/nginx,内容如下: URIPARM1 [A-Za-z0-9$.+!*'|(){},~@#%&amp;/=:;^\\_&lt;&gt;`?\-\[\]]* URIPATH1 (?:/[\\A-Za-z0-9$.+!*'(){...
<记> 一次Presto踩坑日志
weixin_44560999的博客
03-16 584
<记> 一次Presto踩坑日志 Presto任务执行大量失败报错 查看新扩容Presto—Work机器配置: 展示的是操作系统允许的线程总数和能够打开文件数的大小 问题原因:扩容的2台机器 操作系统参数设置较小,presto进程达到了系统所限制的最大打开文件数量。 解决方案:下线新扩容机器 cat /etc/security/limits.d/90-nproc.conf - nofile 65536 - nproc 65536 重启进程 cd presto/bin/ ./la
Presto必知必会
热门推荐
DataFlow范式
09-07 2万+
1.      概述Presto是一个分布式SQL查询引擎,用于查询分布在一个或多个不同数据源中的大数据集。 Presto通过使用分布式查询,可以快速高效的完成海量数据的查询。如果你需要处理TB或者PB级别的数据,那么你可能更希望借助于Hadoop和HDFS来完成这些数据的处理。作为Hive和Pig(Hive和Pig都是通过MapReduce的管道流来完成HDFS数据的查询)的替代者,Presto
presto kafka_第1章06节 | 如何快速掌握Presto源码:思路和经验
weixin_39814925的博客
11-21 280
1. 两个Presto?如果你在互联网上搜索Presto,你会发现两个Presto项目:PrestoDB:https://prestodb.io/,源代码:https://github.com/prestodb/prestoPrestoSQL:https://prestosql.io/,源代码:https://github.com/prestosql/presto这两个Presto的关系是,Pre...
Presto on Apache Kafka 在 Uber 的大规模应用
Java5658的博客
06-10 338
Uber 的目的就是要让全世界变得更好,而大数据是一个非常重要的部分。Presto 和 Apache Kafka 在 Uber 的大数据栈中扮演了重要角色。Presto 是查询联盟的事实标准,它已经在交互查询、近实时数据分析以及大规模数据分析中得到应用。Kafka 是一个支持很多用例的数据流中枢,比如 pub/sub、流处理等。在这篇文章中,我们将探讨如何将这两个重要的服务结合起来,即在 Uber 的 Kafka 上,通过 Presto 实现轻量级的交互式 SQL 查询。...
Apache Hudi和Presto的前世今生
xleesf
09-22 723
一篇由Apache Hudi PMC Bhavani Sudha Saktheeswaran和AWS Presto团队工程师Brandon Scheller分享Apache Hudi和Presto集成的一篇文章。 1. 概述 Apache Hudi 是一个快速迭代的数据湖存储系统,可以帮助企业构建和管理PB级数据湖,Hudi通过引入upserts、deletes和增量查询等原语将流式能力带入了批处理。这些特性使得统一服务层可提供更快、更新鲜的数据。Hudi表可存储在Hadoop兼容的分布式文件系统或者云上对
Facebook Presto:实时大数据分析与性能优化
Presto支持数据联邦,允许用户在多个数据源之间进行联合查询,这对于数据仓库和实时数据分析场景非常适用。 相比于传统的批处理工具Hive,Presto更偏向于实时交互式SQL查询,适用于快速的数据验证和实验,特别适合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值