一子檀、Nginx 按天生成日志

定義時(shí)間變量指定格式

    map $time_iso8601 $logdate {
        '~^(?<ymd>\d{4}-\d{2}-\d{2})' $ymd;
        default    'date-not-found';
    }

自定義日志json格式

log_format  json_log '{"time":"$logdate","demo1":"$arg_demo1","demo2":"$arg_demo2"}';

$args $arg_name 是nginx預(yù)定義變量
$args 可以接收請(qǐng)求uri后面的參數(shù)
$arg_name 當(dāng)前請(qǐng)求中名為 name 的參數(shù)的值镊掖，而且還是未解碼的原始形式的值
例：http://192.168.31.112:80/web?demo1=aaaa&demo2=bbb
此時(shí)$args 的值為demo1=aaaa&demo2=bbb
$arg_demo1 的值為 aaaa
$arg_demo2 的值為 bbb
存儲(chǔ)日志

access_log  logs/ng_$logdate.log  json_log;

二、埋點(diǎn)

前端發(fā)送一個(gè)請(qǐng)求褂痰，ng攔截該請(qǐng)求亩进，返回一個(gè)空gif，并將本次請(qǐng)求存入日志

location ^~/web {
            access_log  logs/ng_$logdate.log  json_log;
            empty_gif;
}

之后通過(guò)filebeat收集日志缩歪，在es中做數(shù)據(jù)統(tǒng)計(jì)

完整nginx.conf

worker_processes  1;

events {
    worker_connections  1024;
}


http {
    include       mime.types;
    #default_type  application/octet-stream;

    map $time_iso8601 $logdate {
        '~^(?<ymd>\d{4}-\d{2}-\d{2})' $ymd;
        default    'date-not-found';
    }
    #默認(rèn)日志
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    #自定義日志格式
    log_format  json_log '{"time":"$logdate","demo1":"$arg_demo1","demo2":"$arg_demo2"}';

    sendfile        on;
    keepalive_timeout  65;

    server {
        listen       80;
        server_name  localhost;
        #按天輸出access日志
        access_log  logs/access_$logdate.log  main;

        location / {
            root   html;
            index  index.html index.htm;
        }

       location ^~/demo {
            access_log  logs/ng_$logdate.log  json_log;
            empty_gif;
        }

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }

}

測(cè)試

瀏覽器發(fā)送請(qǐng)求
(注：默認(rèn)情況下訪問(wèn)nginx靜態(tài)資源只能用get請(qǐng)求归薛，post請(qǐng)求會(huì)報(bào)405)
http://192.168.31.112:80/web?demo1=aaaa&demo2=bbb

nginx的logs目錄下會(huì)多出一個(gè)ng_2023-01-06.log的日志文件
查看日志：

{"time":"2023-01-06","demo1":"aaaa","demo2":"bbb"}

三、filebeat收集日志并以json保存在elasticsearch中

filebeat安裝步驟 略
在filebeat的目錄下創(chuàng)建文件filebeat-nginx.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
    #nginx日志所在絕對(duì)路徑驶冒，用* 去匹配
    - /usr/local/nginx/logs/ng_*.log
  fields:
    index: nginx
  json.keys_under_root: true              
  json.overwrite_keys: true
#===================================
output.elasticsearch:
    #es連接地址苟翻，多個(gè)用逗號(hào)分隔
    hosts: ["192.168.31.112:9200"]
    username: "elastic"
    password: "123456"
    index: "elk-%{[fields.source]}-*"
    indices:
      - index: "elk-nginx-%{+yyyy.MM.dd}"
        when.equals:
          fields:
            index: "nginx"
#===================================
setup.kibana:
  host: "192.168.31.112:5601"
#===================================
# 允許自動(dòng)生成index模板
setup.template.enabled: true
# 如果存在模塊則覆蓋
setup.template.overwrite: true
#和前面的index保持一致
setup.template.name: "elk-nginx"
setup.template.pattern: "elk-*"
setup.ilm.enabled: auto
# 這里一定要注意 會(huì)在alias后面自動(dòng)添加-*
setup.ilm.rollover_alias: "park-ssm"
setup.ilm.pattern: "{now/d}"
# 當(dāng)我們?cè)搶傩詾閒alse時(shí)，就不再遵循ilm的管理骗污，而是索引到我們自己指定的index中
setup.ilm.enabled: false

重要：一定要清空es之前收集的傳統(tǒng)日志格式的數(shù)據(jù)崇猫，還要把nginx日志情況，如果有多臺(tái)nginx服務(wù)器需忿，則改完json格式的日志后诅炉，一定要把日志清空，否則將會(huì)在kibana中顯示兩種日志格式屋厘；刪除原有（如果有）elk-nginx-* 的索引

DELETE /elk-nginx-*

啟動(dòng)filebeat：
前臺(tái)指定配置文件啟動(dòng)：

./filebeat -e -c filebeat-nginx.yml -d "publish"

后臺(tái)啟動(dòng)

nohup ./filebeat -c /usr/local/filebeat/filebeat-nginx.yml -e > /usr/local/filebeat/logs/filebeat.log 2>&1

敲重點(diǎn)：
此時(shí)你關(guān)閉終端涕烧，斷開(kāi)ssh連接，會(huì)導(dǎo)致這個(gè)nohup進(jìn)程也同時(shí)終止汗洒。因?yàn)閿嚅_(kāi)連接時(shí)议纯，會(huì)發(fā)送SIGHUP信號(hào)給當(dāng)前shell的作業(yè)列表的所有進(jìn)程，nohup進(jìn)程接收到SIGHUP信號(hào)后終止溢谤。也就是說(shuō)后臺(tái)啟動(dòng)的filebeat會(huì)停止運(yùn)行瞻凤。

解決辦法
解決終端關(guān)閉導(dǎo)致后臺(tái)的nohup進(jìn)程停止的有兩種辦法。

第一種是世杀，在關(guān)閉xshell終端之前阀参，先用exit命令斷開(kāi)ssh連接，然后就可以關(guān)閉終端了瞻坝。但該方法一定程度上仍可能存在直接關(guān)閉終端導(dǎo)致nohup進(jìn)程終止的危險(xiǎn)蛛壳。

第二種是，在原來(lái)的命令之前加上disown參數(shù)所刀，這個(gè)參數(shù)將會(huì)使啟動(dòng)的nohup進(jìn)程從當(dāng)前shell的作業(yè)列表中清除衙荐，從而避免nohup進(jìn)程在關(guān)閉這個(gè)shell時(shí)接收到SIGHUP信號(hào)。

nohup ./filebeat -c /usr/local/filebeat/filebeat-nginx.yml -e > /usr/local/filebeat/logs/filebeat.log 2>&1 & disown

在瀏覽器中發(fā)送器請(qǐng)求
http://192.168.31.112:80/web?demo1=aaaa&demo2=bbb

在kibana中查詢

GET /elk-nginx-2023.01.06/_search
{
  "query": {
    "match_all": {}
  }
}

會(huì)發(fā)現(xiàn)數(shù)據(jù)已經(jīng)是根據(jù)自己定義的鍵值對(duì)存儲(chǔ)

四勉痴、將filebeat做成服務(wù)

#進(jìn)入對(duì)應(yīng)目錄
cd /etc/systemd/system
#創(chuàng)建文件
touch filebeat.service
#賦予可執(zhí)行權(quán)限
chmod 777 filebeat.service
#編輯內(nèi)容
vi filebeat.service

在文件中輸入如下內(nèi)容

[Unit]
Description=filebeat
Wants=network-online.target
After=network-online.target
[Service]
User=root
ExecStart=/usr/local/filebeat-7.17.8/filebeat -e -c /usr/local/filebeat-7.17.8/filebeat-nginx.yml
Restart=always
[Install]
WantedBy=multi-user.target

systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat
systemctl status filebeat
systemctl stop filebeat

ok

參考連接：filebeat收集json格式的nginx程序日志