2. 程式人生 > >logstash實現nginx日誌status報警

logstash實現nginx日誌status報警

阿新 發佈:2018-01-26
存儲 格式 使用 win 定時 json mman 腳本 watermark

elk搭建方法詳見之前一篇文章http://blog.51cto.com/chentianwang/1915326
廢話不多說

環境介紹
192.168.102.20 nginx logstash-agent6.1
192.168.102.21 logstash-server6.1 redis-server

一,搭建測試的nginx環境
配置文件如下

worker_processes  1;
events {
    worker_connections  1024;
}
http {
    include       mime.types;
    include /etc/nginx/conf.d/*.conf;
    default_type  application/octet-stream;
    log_format  main  ‘{"http_x_forwarded_for":"$http_x_forwarded_for","remote_user":"$remote_user","time_local":"$time_local","request":"$request","status":"$status","body_bytes_sent":"$body_bytes_sent","request_body":"$request_body","http_referer":"$http_referer","remote_addr":"$remote_addr","fastcgi_script_name":"$fastcgi_script_name","request_time":"$request_time","proxy_host":"$proxy_host","upstream_addr":"$upstream_addr","upstream_response_time":"$upstream_response_time","agent":"$http_user_agent"}‘;
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;
    keepalive_timeout  65;
    upstream real_server {
      server 127.0.0.1:8080;
    }
    server {
        listen       80;
        server_name  asd.com;
        location / {
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://real_server; 
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
}

這裏要註意 log_format 已經定義好了日誌為json格式,方便logstash的獲取
access的日誌格式為

{"http_x_forwarded_for":"-","remote_user":"-","time_local":"26/Jan/2018:15:32:53 +0800","request":"GET / HTTP/1.1","status":"304","body_bytes_sent":"0","request_body":"-","http_referer":"-","remote_addr":"192.168.102.1","fastcgi_script_name":"/","request_time":"0.001","proxy_host":"real_server","upstream_addr":"127.0.0.1:8080","upstream_response_time":"0.001","agent":"Mozilla/5.0 (Windows NT 10.0; WOW64; rv:57.0) Gecko/20100101 Firefox/57.0"}

為了方便測試還會另外起一個8080端口用於upstream測試

server {
    server_name 127.0.0.1;
    listen 8080 ;
        root /data/;
        index index.html ;

}

二,logstash配置
192.168.102.20

input {
        file {
                path => "/var/log/nginx/access.log"
             }
      }
output {
            redis {
            host => "192.168.102.21"   # redis主機地址
            port => 6379              # redis端口號
            data_type => "list"    # 使用發布/訂閱模式
            key => "nginx_102_20"  # 發布通道名稱
            }
}

192.168.102.21

input { 
        redis { 
                host => "192.168.102.21"           #本地的reds地址 
                port => 6379                      #redis端口 
                type => "redis-input"           #輸入類型 
                data_type => "list"               #使用redis的list存儲數據 
                key => "nginx_102_20" 
        } 
}

filter {
        json {
            source => "message"
        }        
}

output { 
  stdout {}
    if [status] == "304" { 
        exec {
                command => "python /root/elk_alarm/count.py err_304 %{proxy_host}"
            }   
    }
  elasticsearch {
                index => "test"        #索引信息
                hosts => [ "192.168.102.21:9200" ]
                      }
}

這裏agent往redis裏寫數據 server從redis裏讀數據,並且判斷狀態碼304(方便測試而已具體規則自己定義,也支持and or等)發現後執行python腳本

三,自定義報警腳本
大致意思為發現報警自動往redis增加一條計數器

vim count.py

#!/usr/bin/python

import redis
import sys

f=open("/root/elk_alarm/status.log","a")
f.write(sys.argv[1] + "\n")
f.write(sys.argv[2] + "\n")
f.close()

r = redis.StrictRedis(host=‘192.168.102.21‘, port=6379)
count = r.hget(sys.argv[1],sys.argv[2])
if count:
        r.hset(sys.argv[1],sys.argv[2],int(count)+1)
else:
        r.hset(sys.argv[1],sys.argv[2],1)

還要寫一個報警腳本,大致是發現304超過3時報警,需要配合crontab定時執行,如果在定義的時間內達不到3就清0,如果大於3就報警

vim check.py

#!/usr/bin/python
# -*- coding: UTF-8 -*-
import redis
import smtplib
from email.mime.text import MIMEText
from email.header import Header

r = redis.StrictRedis(host=‘192.168.102.21‘, port=6379)  
tengine=[
    ‘err_304‘,
]

sender = ‘[email protected]‘
receivers = [‘[email protected]‘]

for i in tengine:
    print i
    print "============================="
    for k,v in r.hgetall(i).items():
        if int(v) > 3:
            print k,v   
            print "error"
            # 三個參數:第一個為文本內容,第二個 plain 設置文本格式,第三個 utf-8 設置編碼
            mail_msg = "錯誤Upstream:" + " " + k + "次數:" + " "+ v
            message = MIMEText(mail_msg, ‘plain‘, ‘utf-8‘)
            message[‘From‘] = Header(sender)
            message[‘To‘] =  Header("測試", ‘utf-8‘)

            subject = ‘Log_error_mail‘
            message[‘Subject‘] = Header(subject, ‘utf-8‘)

            try:
                smtpObj = smtplib.SMTP(‘localhost‘)
                smtpObj.sendmail(sender, receivers, message.as_string())
                print "郵件發送成功"
            except smtplib.SMTPException:
                print "Error: 無法發送郵件"
            r.hset(i,k,0)
            print "-----------------------------------------"
        else:
            print k,v
            print "ok"
            print "-----------------------------------------"

四,效果

技術分享圖片

logstash實現nginx日誌status報警

相關推薦

logstash實現nginx日誌status報警

存儲 格式 使用 win 定時 json mman 腳本 watermark elk搭建方法詳見之前一篇文章http://blog.51cto.com/chentianwang/1915326廢話不多說 環境介紹192.168.102.20 nginx logstas

Rsyslog實現Nginx日誌統一收集

rsyslog實現nginx日誌統一收集一、rsyslog 介紹ryslog 是一個快速處理收集系統日誌的程序,提供了高性能、安全功能和模塊化設計。rsyslog 是syslog 的升級版,它將多種來源輸入輸出轉換結果到目的地,據官網介紹,現在可以處理100萬條信息。 二、Rsyslog應用Rsyslog服務

Logstash收集nginx日誌之使用grok過濾插件解析日誌

stat 使用 ssa agent AD IT ber ems tput grok作為一個logstash的過濾插件,支持根據模式解析文本日誌行,拆成字段。 nginx日誌的配置: log_format main ‘$remote_addr - $rem

logstashnginx日誌進行解析

eat sent bytes list min oat try port log logstash對nginx日誌進行解析過濾轉換等操作;配置可以用於生產環境,架構為filebeat讀取日誌放入redis,logstash從redis讀取日誌後進行操作;對user_agen

logstash獲取nginx日誌 兩種方法

獲取nginx日誌要寫grok 還有很多正則來做 那麼很多像我一樣的新手不知道該如何操作 下面我們來個簡單的 第一種 : 重點是: 把nginx的access.log日誌格式改成json型別 更重要的是下面兩行 log_format json '{"@timestamp"

logstash收集Nginx日誌,轉換為JSON格式

Nginx日誌處理為JSON格式,並放置在http區塊: 1 log_format json '{"@timestamp":"$time_iso8601",' 2 '"@version":"1",' 3

logstash實現分散式日誌收集

1、logstash的目前的最新版本是2.0.0,建議安裝在Linux平臺,雖然它也支援Windows平臺,但可能會有問題 下載: wget https://download.elastic.co/logstash/logstash/logstash-2.0.0.tar.gz 2、解

Logstash收集nginx日誌

uid mozilla integer date war rem 不足 中間 erer 1、首先是要在nginx裏面配置日誌格式化輸出 log_format main "$http_x_forwarded_for | $time_local | $requ

logstash收集nginx日誌、filebeat

logstash收集nginx日誌 使用Beats採集日誌(filebeat)      

利用Python實現讀取Nginx日誌,並將需要信息寫入到數據庫。

creat rip ger form use nginx日誌 zabbix 創建 auth #!/usr/bin/env python # coding: utf-8 # Auther:liangkai # Date:2018/6/26 11:26 # License: (

Elastic+logstash+filebeat做Nginx日誌分析

uri down rac ash 存儲 日誌格式 over byte install 一、Elasticserach安裝1、Installation(elastic 6.3.2 版本 依賴 java JDK8) 下載合適的版本:curl -L -O https://art

nginx日誌寫入到logstash

1.修改nginx日誌格式 vim /datas/soft/nginx/conf/nginx.conf 將預設日誌這段給註釋掉 改成json格式的 log_format json '{"@timestamp":"$time_iso8601",' '"host":"$server

docker 部署 ELK (elasticsearch + logstash + kibana) 收集分析 nginx 日誌

git 專案地址 https://github.com/Gekkoou/docker-elk 目錄結構 ├── elasticsearch elasticsearch目錄 │ └── es

elasticsearch+logstash+redis+kibana 實時分析nginx日誌

1. 部署環境 2. 架構拓撲 3. nginx安裝 安裝在192.168.176.128伺服器上 這裡安裝就簡單粗暴了直接yum安裝nginx  [[email protected] ~]# yum -y install epel-release [[email

ELK6.5 Nginx 日誌蒐集-04 logstash 安裝

node1:elasticsearch、kibana、logstash node2:filebeat 1、如前文,下載 logstash 6.5.0 版 安裝 # rpm -ivh logstash-6.5.0-x86_64.rpm 進入配置檔案目錄,修改配置檔案

Logstash處理(nginx、nginx_error、application)日誌到ES

input{ #從kakfa讀取資料 kafka{ bootstrap_servers => ["xxx:9092"] client_id => "logstash_app_log_group" group_id => "logstash_app_

logstash通過kafka傳輸nginx日誌(三)

單個程序 logstash 可以實現對資料的讀取、解析和輸出處理。但是在生產環境中,從每臺應用伺服器執行 logstash 程序並將資料直接傳送到 Elasticsearch 裡,顯然不是第一選擇:第一,過多的客戶端連線對 Elasticsearch 是一種額外的壓力;第

基於 Flume+Kafka+Spark Streaming 實現實時監控輸出日誌報警系統

運用場景:我們機器上每天或者定期都要跑很多工,很多時候任務出現錯誤不能及時發現,導致發現的時候任務已經掛了很久了。  解決方法:基於 Flume+Kafka+Spark Streaming 的框架對這些任務的輸出日誌進行實時監控,當檢測到日誌出現Error的資訊就傳送郵件給

logstash實現日誌檔案同步到elasticsearch深入詳解

引言: 之前博文介紹過了mysql/oracle與ES之間的同步機制。而logstash最初始的日誌同步功能還沒有介紹。本文就logstash同步日誌到ES做下詳細解讀。 1、目的: 將本地磁碟儲存的日誌檔案同步(全量同步、實時增量同步)到ES中。

[python小記] logging模組SMTPhandler實現日誌郵件報警

前言:一般開發中日誌會輸出到console,log file,mail中,上篇章簡述了logging模組載入yaml配置輸出到控制檯和檔案中logging模組yaml配置,本文會詳述logging如何傳送email,嗯 [1]最重要的是實現SMTPHanler的設定,簡述