该nginx模块解析由Nginx HTTP服务器创建的访问和错误日志 。
当你运行这个模块的时候,它会执行一些任务:
- 设置日志文件的默认路径(但不用担心,可以覆盖默认值)
- 确保每个多行日志事件都作为单个事件发送
- 使用摄取节点来解析和处理日志行,将数据整形成适合在Kibana中可视化的结构
- 部署仪表板以可视化日志数据
启用模块:
./filebeat modules enable nginx
要查看启用和禁用模块的列表,请运行:
./filebeat modules list
建立初始环境:该setup命令加载用于写入Elasticsearch的推荐索引模板,并部署示例仪表板以在Kibana中可视化数据。这是一次性设置步骤
./filebeat setup -e
-e标志是可选的,并将输出发送到标准错误而不是syslog。
运行Filebeat:
./filebeat -e
配置模块编辑 您可以nginx通过在 文件中指定变量设置来进一步优化模块 的行为modules.d/nginx.yml,或者在命令行中覆盖设置。modules.d/nginx.yml文件中设置路径以覆盖访问日志和错误日志的默认路径:
- module: nginx
access:
enabled: true
var.paths: ["/path/to/log/nginx/access.log*"]
error:
enabled: true
var.paths: ["/path/to/log/nginx/error.log*"]
要在命令行中指定相同的设置,可以使用:
./filebeat --modules nginx -M "nginx.access.var.paths=[/path/to/log/nginx/access.log*]" -M "nginx.error.var.paths=[/path/to/log/nginx/error.log*]"
access日志文件集设置
var.paths- 指定在哪里查找日志文件的路径数组。如果留空,Filebeat将根据您的操作系统选择路径
或者像这样的命令行:
./filebeat -M "nginx.access.prospector.close_eof=true"
在这里,您将看到如何将-M选项一起使用--modules:
./filebeat --modules nginx -M "nginx.access.prospector.close_eof=true"
您可以使用通配符一次更改多个模块/文件集的变量或设置。例如,以下命令启用 模块close_eof中的所有文件集nginx:
./filebeat -M "nginx.*.prospector.close_eof=true"
以下命令启用close_eof由任何模块创建的所有探矿者:
./filebeat -M "*.*.prospector.close_eof=true"