Elastic Stack內置nginx日誌收集

Elastic Stack內置對很多常用軟件日誌的收集和字段處理，本文介紹最常用的nginx

在Elastic Stack安裝使用後，打開Kibana頁面，開始進入內置的Nginx數據收集配置嚮導

• 第一步：添加數據

  
  

• 第二步：選擇Nginx日誌

  
  

安裝filebeat及配置nginx日誌收集

• 下載及安裝filebeat
  如果已經安裝好了，可以跳過這一步

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.14.1-x86_64.rpm
sudo rpm -vi filebeat-7.14.1-x86_64.rpm

• 修改配置信息/etc/filebeat/filebeat.yml

output.elasticsearch:
  # 配置elasticsearch的地址，用戶名和密碼
  hosts: ["<es_url>"]
  username: "elastic"
  password: "<password>"
setup.kibana:
  # 配置kibana的地址
  host: "<kibana_url>"

• 啓動nginx模塊

sudo filebeat modules enable nginx

• 啓動filebeat

# setup命令是加載kibana dashboard，如果已經安裝就不用再執行該命令
sudo filebeat setup
# 啓動filebeat服務
sudo service filebeat start

安裝後查看日誌信息

• 從dashboard進入

  
  

• Nginx日誌信息

  
  

常見錯誤

• 日誌沒有進入Elastic Stack
  • 先確保nginx已經啓動，而且有access和error日誌
  • /etc/filebeat/modules.d/nginx.yml配置日誌路徑