Elastic Stack内置nginx日志收集

Elastic Stack内置对很多常用软件日志的收集和字段处理，本文介绍最常用的nginx

在Elastic Stack安装使用后，打开Kibana页面，开始进入内置的Nginx数据收集配置向导

• 第一步：添加数据

  
  

• 第二步：选择Nginx日志

  
  

安装filebeat及配置nginx日志收集

• 下载及安装filebeat
  如果已经安装好了，可以跳过这一步

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.14.1-x86_64.rpm
sudo rpm -vi filebeat-7.14.1-x86_64.rpm

• 修改配置信息/etc/filebeat/filebeat.yml

output.elasticsearch:
  # 配置elasticsearch的地址，用户名和密码
  hosts: ["<es_url>"]
  username: "elastic"
  password: "<password>"
setup.kibana:
  # 配置kibana的地址
  host: "<kibana_url>"

• 启动nginx模块

sudo filebeat modules enable nginx

• 启动filebeat

# setup命令是加载kibana dashboard，如果已经安装就不用再执行该命令
sudo filebeat setup
# 启动filebeat服务
sudo service filebeat start

安装后查看日志信息

• 从dashboard进入

  
  

• Nginx日志信息

  
  

常见错误

• 日志没有进入Elastic Stack
  • 先确保nginx已经启动，而且有access和error日志
  • /etc/filebeat/modules.d/nginx.yml配置日志路径