基于Logstash的自动化运维系统实现

利用Logstash实现Nginx日志的监控与告警

1.实现思路

首先将Nginx日志按json格式保存到文件,之后利用rsyslog服务将日志数据推送到Logstash节点上,最后通过配置Logstash服务对日志进行json格式化,并按status状态码统计出对应的异常状态发生频率并触发阈值告警,本文以统计504错误并告警为例,具体操作如下。

2. 客户端配置

2.1 Nginx日志配置

编辑 /etc/nginx/nginx.conf 添加以下内容

   log_format json '{"@timestamp":"$time_iso8601",'
        '"host":"$host",'
        '"scheme":"$scheme",'
        '"server_addr":"$server_addr",'
        '"client_ip":"$remote_addr",'
        '"server_protocol":"$server_protocol",'
        '"method":"$request_method",'
        '"query_string":"$query_string",'
        '"body_bytes_sent":$body_bytes_sent,'
        '"bytes_sent":$bytes_sent,'
        '"request_length":$request_length,'
        '"request_time":$request_time,'
        '"upstream_time":"$upstream_response_time",'
        '"upstream_host":"$upstream_addr",'
        '"upstream_status":"$upstream_status",'
        '"server_name":"$server_name",'
        '"url":"$uri",'
        '"request_url":"$request_uri",'
        '"http_x_forwarded_for":"$http_x_forwarded_for",'
        '"referer":"$http_referer",'
        '"agent":"$http_user_agent",'
        '"status":$status}';

    access_log  /home/nginx/log/access.log  json;

2.2 rsyslog配置

使用rsyslog推送日志到Logstash,编辑/etc/rsyslog.d/nginx.conf,输入以下内容,完成后记得重启rsyslog服务。

$ModLoad imfile
$Modload mmjsonparse
action(type="mmjsonparse")
template(name="nginx-json" type="list") {
    property(name="$!all-json")
}

$InputFileName /home/nginx/log/access.log
$InputFileTag nginx-access
$InputFileStateFile nginx-accessfile
$InputFileSeverity info
$InputFileFacility local7
$InputRunFileMonitor
$InputFilePersistStateInterval 1

if $syslogtag startswith 'nginx' then @@10.160.209.10:514;nginx-json

3. 服务端配置

3.1 Logstash 配置

新建一个Logstash配置,名称为metric_nginx.conf,内容如下

input {
    syslog {
        host => "10.160.209.10"
        port => "514"
        codec => "json"
        }
}
filter {
      json {
        source => "msg"
        }
      mutate {
        convert => ["request_time",float]
        }
      mutate {
        remove_field => ["msg"]
        remove_field => ["@version"]
        remove_field => ["port"]
        remove_field => ["facility"]
        remove_field => ["priority"]
        remove_field => ["severity"]
        remove_field => ["severity_label"]
        remove_field => ["facility_label"]
        }
    metrics {
        meter => "error.%{status}" #按不同的status值建立计数器
        add_tag => "metric"
        ignore_older_than => 10
    }
}

output {
  if "metric" in [tags] {
      if [error.504][rate_1m] > 0.0 { # 当达504计数器到达设定的阈值则告警
        stdout {
            codec => line {
            format => "alarm: %{[error.504][rate_1m]}" #模拟告警
          }
        }
      }
  }
}

之后使用下面的命令启动Logstash服务

 logstash -f metric_nginx.conf

关于上面[rate_1m]计数器的定义请参考:https://www.elastic.co/guide/en/logstash/current/plugins-filters-metrics.html#_literal_meter_literal_values

4. 基于Logstash模型的运维自动化模型

介绍完上面的实例,相信大家可以看到Logstash的作用远不止如此,在熟悉Logstsh这套日志处理流程以后,完全可以实现一套基于日志驱动的自动化运维平台。如下图所示,可以将Mon、OSD等各类服务的日志接入Logtash,通过Logstash处理以后借助不同的output插件,可以选择性进行Alarm告警,或者是触发Ansible playbook操作,亦或是存储到redis、kafka一类的消息中间件从而打通和其他业务系统的数据通道。特别是当你的运维熟悉了Ceph的各种日志异常情况以后,完全可以做到一些线上故障的自动化处理。

output插件介绍:https://www.elastic.co/guide/en/logstash/current/output-plugins.html

原文发布于微信公众号 - Ceph对象存储方案(cephbook)

原文发表时间:2017-10-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏雨尘分享

手把手教你搭建微信小程序服务器(HTTPS)

9.1K90
来自专栏IT笔记

ELK日志分析系统迁移记录

写在开始 做项目不记录日志?线上的问题永远不会知道何时发生过?只会在出现事故之后身处茫然之中。 由于之前ELK日志分析是在自己的服务器上进行试水,断断续续运行了...

36740
来自专栏Linux运维学习之路

zabbix自动发现与自动注册及SNMP监控

自动发现与自动注册 自动发现:zabbix Server主动发现所有客户端,然后将客户端登记自己的小本本上,缺点zabbix server压力山大(网段大,客户...

94380
来自专栏Web 开发

手札《nginx – A Practical Guide to High Performance》

今晚无意发现Nginx官方出了一本Guide to Hight Performance的书,翻了一下,有一些蛮有意思的点。

8500
来自专栏CSDN技术头条

ELK 系统在中小企业从0到1的落地实践

ELK 是一般被称作日志分析系统,是三款开源软件的简称。通常在业务服务上线后我们会部署一套 ELK 系统,方便我们通过图形化界面直接查找日志,快速找到问题源并帮...

18830
来自专栏云加头条

RabbitMQ进程结构分析与性能调优

RabbitMQ是一个流行的开源消息队列系统,是AMQP(高级消息队列协议)标准的实现,由以高性能、健壮、可伸缩性出名的Erlang语言开发,并继承了这些优点。...

32.3K60
来自专栏架构师小秘圈

互联网亿级日志实时分析平台,一个码农半小时就可以搞定,只因ELK

一,前言 人们常常说数据如金,可是,能被利用起的数据,才是“金”。而互联网的数据,常常以日志的媒介的形式存在,并需要从中提取其中的"数据"。 从这些数据中,我们...

2.6K70
来自专栏carven

ubuntu下的apache端口反向代理

  在国庆期间,自己这用node.js做了一个即时聊天系统,挂在2000端口上。 可是每次都在网址后面加一个:2000显得有点奇怪,也很麻烦,于是就想到了反向代...

12600
来自专栏张戈的专栏

解决Nginx Helper插件一键清理缓存功能导致网站打不开问题

5 月份,张戈博客分享了一篇《Nginx 开启 fastcgi_cache 缓存加速,支持 html 伪静态页面》的文章。文中也提到了 WordPress 有一...

44790
来自专栏逸鹏说道

怎么添加用户到sudo用户组

跨平台系列汇总:http://www.cnblogs.com/dunitian/p/4822808.html#linux 前段时间用Ubuntu的sudo用惯了...

345100

扫码关注云+社区

领取腾讯云代金券