首页 文章 精选 留言 我的

ELK收集nginx日志并用高德地图展示出IP

2017-11-11 545

(一)测试的环境

agentd:192.168.180.22

ES:192.168.180.23

kibana:192.168.180.23

采用的拓扑:logstash -->ES-->kibana


(二)实施步骤:

   (1)logstsh具体配置:

1,配置nginx日志格式,采用log_format格式:

1
2
3
log_format  main   '$remote_addr - $remote_user [$time_local] "$request" '
                       '$status $body_bytes_sent "$http_referer" '
                       '"$http_user_agent" "$http_x_forwarded_for"' ;

2,在logstash服务器下载IP地址归类查询库

1
2
3
[root@localhost config] # cd /usr/local/logstash/config/
[root@localhost config] #  wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.
gz

3,配置logstash客户端

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
[root@localhost config] # vim /usr/local/logstash/config/nginx-access.conf 
input {
         file  {
                 path =>  "/opt/access.log"
                 type  =>  "nginx"
                 start_position =>  "beginning"
               }
             }
filter {
           grok {
                 match => {  "message"  => "%{IPORHOST:remote_addr} - - \[%{HTTPDATE:time_local}\] \"%{WO
RD:method} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}\" %{INT:status} %{INT:body_bytes_sent} %
{QS:http_referer} %{QS:http_user_agent}"
                                 }
                      }
  geoip {
      source  =>  "remote_addr"
      target =>  "geoip"
      database =>  "/usr/local/logstash/config/GeoLite2-City.mmdb"
      add_field => [ "[geoip][coordinates]" , "%{[geoip][longitude]}" ]
      add_field => [ "[geoip][coordinates]" , "%{[geoip][latitude]}" ]
                 }
    }
    
output {
                 elasticsearch {
                         hosts => [ "192.168.180.23:9200" ]
                         manage_template =>  true                                     
                         index =>  "logstash-map-%{+YYYY-MM}"                         
                           }                                                                   
              }

备注:

  • geoip: IP查询插件

  • source: 需要通过geoip插件处理的field,一般为ip,这里因为通过控制台手动输入的是ip所以直接填message,生成环境中如果查询nginx访问用户,需先将客户端ip过滤出来,然后这里填remote_addr即可

  • target: 解析后的Geoip地址数据,应该存放在哪一个字段中,默认是geoip这个字段

  • database: 指定下载的数据库文件

  • add_field: 这里两行是添加经纬度,地图中地区显示是根据经纬度来识

。如果启动正常的话,可以在kibana看到geoip相关的字段,如下图:

wKioL1lJ3Jeji0L3AACaqQ27hiY470.png

3,启动logstash客户端并加载刚才的配置文件。

1
2
3
4
5
6
7
8
9
10
11
12
[root@localhost config] # /usr/local/logstash/bin/logstash -f nginx-access.conf  
Sending Logstash's logs to  /usr/local/logstash/logs  which  is now configured via log4j2.properties
[2017-06-20T22:55:23,801][INFO ][logstash.outputs.elasticsearch] Elasticsearch pool URLs updated {:changes=>{:removed=>[], :added=>[http: //192 .168.180.23:9200/]}}
[2017-06-20T22:55:23,805][INFO ][logstash.outputs.elasticsearch] Running health check to see  if  an Elasticsearch connection is working {:healthcheck_url=>http: //192 .168.180.23:9200/, :path=> "/" }
[2017-06-20T22:55:23,901][WARN ][logstash.outputs.elasticsearch] Restored connection to ES instance {:url=> #<URI::HTTP:0x4e54594d URL:http://192.168.180.23:9200/>}
[2017-06-20T22:55:23,909][INFO ][logstash.outputs.elasticsearch] Using mapping template from {:path=>nil}
[2017-06-20T22:55:23,947][INFO ][logstash.outputs.elasticsearch] Attempting to  install  template {:manage_template=>{ "template" => "logstash-*" "version" =>50001,  "settings" =>{ "index.refresh_interval" => "5s" },  "mappings" =>{ "_default_" =>{ "_all" =>{ "enabled" => true "norms" => false },  "dynamic_templates" =>[{ "message_field" =>{ "path_match" => "message" "match_mapping_type" => "string" "mapping" =>{ "type" => "text" "norms" => false }}}, { "string_fields" =>{ "match" => "*" "match_mapping_type" => "string" "mapping" =>{ "type" => "text" "norms" => false "fields" =>{ "keyword" =>{ "type" => "keyword" }}}}}],  "properties" =>{ "@timestamp" =>{ "type" => "date" "include_in_all" => false },  "@version" =>{ "type" => "keyword" "include_in_all" => false },  "geoip" =>{ "dynamic" => true "properties" =>{ "ip" =>{ "type" => "ip" },  "location" =>{ "type" => "geo_point" },  "latitude" =>{ "type" => "half_float" },  "longitude" =>{ "type" => "half_float" }}}}}}}}
[2017-06-20T22:55:23,955][INFO ][logstash.outputs.elasticsearch] New Elasticsearch output {:class=> "LogStash::Outputs::ElasticSearch" , :hosts=>[ #<URI::Generic:0x1e098115 URL://192.168.180.23:9200>]}
[2017-06-20T22:55:24,065][INFO ][logstash.filters.geoip   ] Using geoip database {:path=> "/usr/local/logstash/config/GeoLite2-City.mmdb" }
[2017-06-20T22:55:24,094][INFO ][logstash.pipeline        ] Starting pipeline { "id" => "main" "pipeline.workers" =>4,  "pipeline.batch.size" =>125,  "pipeline.batch.delay" =>5,  "pipeline.max_inflight" =>500}
[2017-06-20T22:55:24,275][INFO ][logstash.pipeline        ] Pipeline main started
[2017-06-20T22:55:24,369][INFO ][logstash.agent           ] Successfully started Logstash API endpoint {:port=>9600}

(2)Kibana配置.

1,编辑修改kibana的配置文件kibana.yml在最后添加如下:

1
2
3
4
5
6
# The default locale. This locale can be used in certain circumstances to substitute any missing
# translations.
#i18n.defaultLocale: "en"
 
tilemap.url: 'http: //webrd02 .is.autonavi.com /appmaptile ?lang=zh_cn&size=1&scale=1&style=7&x={x}&y={y}&
z={z}'

2,重启kibana服务。

1
2
3
4
5
6
7
8
9
10
11
12
13
[root@localhost bin] # /usr/local/kibana/bin/kibana &
[1] 10631
[root@localhost bin] # ps -ef|grep kibana            
root     10631  7795 21 10:52 pts /0     00:00:02  /usr/local/kibana/bin/ .. /node/bin/node  --no-warnings  /usr/local/kibana/bin/ .. /src/cli
root     10643  7795  0 10:52 pts /0     00:00:00  grep  --color=auto kibana
[root@localhost bin] #   log   [02:52:59.297] [info][status][plugin:kibana@5.4.0] Status changed from uninitialized to green - Ready
   log   [02:52:59.445] [info][status][plugin:elasticsearch@5.4.0] Status changed from uninitialized to yellow - Waiting  for  Elasticsearch
   log   [02:52:59.482] [info][status][plugin:console@5.4.0] Status changed from uninitialized to green - Ready
   log   [02:52:59.512] [info][status][plugin:elasticsearch@5.4.0] Status changed from yellow to green - Kibana index ready
   log   [02:52:59.513] [info][status][plugin:metrics@5.4.0] Status changed from uninitialized to green - Ready
   log   [02:53:00.075] [info][status][plugin:timelion@5.4.0] Status changed from uninitialized to green - Ready
   log   [02:53:00.080] [info][listening] Server running at http: //192 .168.180.23:5601
   log   [02:53:00.081] [info][status][ui settings] Status changed from uninitialized to green - Ready

3,创建nginx的访问索引lostash-map*。具体步骤如下:ip:5601--->Management--Index Patterns--->+--->在Index name or pattern中添加logstash-map*--->create。具体如下图:

wKiom1lJ4RGAiA2RAAJScJYDBDU671.png

4,创建Visualize。具体步骤如下:Visalize--->+--->Maps(Tile Maps)

wKiom1lJ4d-DN7ZrAAEvl-yzYaY741.pngwKiom1lJ4ieBKuU7AARUwvXmrI8065.png



本文转自 lqbyz 51CTO博客,原文链接:http://blog.51cto.com/liqingbiao/1940469


上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://yq.aliyun.com/articles/551374

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

hbase系统搭建

相关软件版本: jdk-6u32-linux-x64.bin tar xzvf hadoop-1.0.2.tar.gz tar xzvf hbase-0.92.1-security.tar.gz jdk-6u32-linux-x64.bin 注:目前已经有更高版本,建议使用高版本的hadoop和hbase。 环境:suse10 64位机器 单机版参考:HDFS+MapReduce+Hive+HBase十分钟快速入门 步骤 0. 设置集群机器的hostname; 1. 建立hadoop用户,如hadoop; 2. 配置ssh(简单办法:先在单机上生成ssh key pair文件,将授权文件拷贝到相应的机器上) 3. 安装java、hadoop、hbase。 4. 配置hadoop:core-site.xml 、core-site.xml 、mapred-site.xml 、taskcontroller.cfg、master、slavers、hadoop-env.sh、/etc/hosts、 环境变量(/etc/profile): # hadoop env export JAVA_HOM...
2017-11-12
497
上一篇

(一)Elasticsearch-5.x安装与配置

(一)平台所需的环境 OS:CentOS 7.x minimal elasticsearch :elasticsearch-5.4.0版本 jdk: 1.8以上版本 创建普通用户:appuser 最新的下载路径地址为:https://www.elastic.co/downloads (二)配置操作系统的环境并安装elasticsearch: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 1.ifconifg查看网络的命令无法使用,最后的解决方案为:yum-y install net-tools [root@localhost~] #ifconifig bash :ifconifig: command ...
2017-11-12
559
下一篇

相关文章

发表评论

资源下载

更多资源
优质分享App

优质分享App

近一个月的开发和优化,本站点的第一个app全新上线。该app采用极致压缩,本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

时间: 2025-12-03 大小: 4.36MB 下载: 23次
Mario

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长,特征是大鼻子、头戴帽子、身穿背带裤,还留着胡子。与他的双胞胎兄弟路易基一起,长年担任任天堂的招牌角色。

时间: 2025-12-12 大小: 211.28KB 下载: 54次
Spring

Spring

Spring框架(Spring Framework)是由Rod Johnson于2002年提出的开源Java企业级应用框架,旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念,提供核心容器、应用上下文、数据访问集成等模块,支持整合Hibernate、Struts等第三方框架,其适用范围不仅限于服务器端开发,绝大多数Java应用均可从中受益。

时间: 2025-12-17 大小: 5MB 下载: 1次
Rocky Linux

Rocky Linux

Rocky Linux(中文名:洛基)是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版,作为CentOS稳定版停止维护后与RHEL(Red Hat Enterprise Linux)完全兼容的开源替代方案,由社区拥有并管理,支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性,采用模块化包装和SELinux安全架构,默认包含GNOME桌面环境及XFS文件系统,支持十年生命周期更新。

时间: 2026-01-03 大小: 1.42GB 下载: 2次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
Jdk25 SpringBoot4 DeepSeek SpringCloud Rocky OpenAi Nacos3 Gemini3 Redis Kubernetes Service Mesh HarmonyOS6 Docker

欢迎您来访!

登录后,您将获得更多功能!
热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273

用户登录
用户注册