【威尼斯手机娱乐官网】ELK系统分析Nginx日志并对
分类:网络运维

选择 ELK系统一分配析Nginx日志并对数码进行可视化体现,elknginx

小编:飞走不行

一、写在头里

一、写在日前

结缘以前写的一篇文章:Centos7 之安装Logstash ELK stack 日志管理系列,上篇文章首要讲了监督软件的效应以及陈设方法。而那篇小说介绍的是独自监察和控制nginx 日志剖判再举办可视化图形突显,并在客户前端采纳nginx 来代劳kibana的伸手响应,访谈权限方面前遇到时使用HTTP 基本评释加密客商登入。(关于elk权限决定,笔者所精通的还会有一种办法-Shield),等现在有的时候光了去搞下。下边初叶正文吧。。。

注意:环境默认和上一篇大致一样,默认安装好了E、L、K、3个软件即可。当然了,还有必需的java环境JDK

发轫此前,请允许本人插入一张图,来自线上小编的测验图:(倘若有需求的童鞋,能够私信我,小编可以把登录帐号给您。。)

备考:由于Ali云主机已经删除,无法提供试看了哈。

nginx日志文件之中一行:

218.75.177.193 - - [03/Sep/2016:03:34:06 +0800] "POST /newRelease/everyoneLearnAjax HTTP/1.1" 200 370 "http://www.xxxxx.com/" 
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36" "36.22.6.130"

nginx 服务器日志的log_format格式:

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

整合在此之前写的一篇小说:CentOS 7 之安装Logstash ELK stack 日志管理连串,上篇小说首要讲了监督检查软件的意义以及配置方法。而这篇小说介绍的是独立监察和控制nginx 日志剖判再扩充可视化图形突显,并在顾客前端采纳nginx 来代理kibana的呼吁响应,访谈权限方面近年来使用HTTP 基本注脚加密客户登陆。(关于elk权限调节,小编所驾驭的还应该有一种方法-Shield),等以往一时光了去搞下。上边伊始正文吧。。。

二、配置logstash

1.修改配置文件,/etc/logstash/conf.d下。创设一个新的布局文件,内容如下:

 View Code

文件内容大致解释:

Logstash 分为 Input、Output、Filter、Codec 等多种plugins。
Input:数据的输入源也支持多种插件,如elk官网的beats、file、graphite、http、kafka、redis、exec等等等、、、
Output:数据的输出目的也支持多种插件,如本文的elasticsearch,当然这可能也是最常用的一种输出。以及exec、stdout终端、graphite、http、zabbix、nagios、redmine等等、、、
Filter:使用过滤器根据日志事件的特征,对数据事件进行处理过滤后,在输出。支持grok、date、geoip、mutate、ruby、json、kv、csv、checksum、dns、drop、xml等等、、
Codec:编码插件,改变事件数据的表示方式,它可以作为对输入或输出运行该过滤。和其它产品结合,如rubydebug、graphite、fluent、nmap等等。
具体以上插件的细节可以去官网,介绍的挺详细的。下面说下该篇中的配置文件的含义:

来源:飞走不可-原文http://www.cnblogs.com/hanyifeng/p/5857875.html

input段:
file:使用file 作为输入源
path: 日志的路径,支持/var/log*.log,及[ “/var/log/messages”, “/var/log/*.log” ] 格式
start_position: 从文件的开始读取事件。另外还有end参数
ignore_older: 忽略早于24小时(默认值86400)的日志,设为0,即关闭该功能,以防止文件中的事件由于是早期的被logstash所忽略。

filter段:
grok:数据结构化转换工具
match:匹配条件格式,将nginx日志作为message变量,并应用grok条件NGINXACCESS进行转换
geoip:该过滤器从geoip中匹配ip字段,显示该ip的地理位置
source:ip来源字段,这里我们选择的是日志文件中的最后一个字段,如果你的是默认的nginx日志,选择第一个字段即可(注:这里写的字段是/opt/logstash/patterns/nginx 里面定义转换后的)
target:指定插入的logstash字断目标存储为geoip
database:geoip数据库的存放路径
add_field: 增加的字段,坐标经度
add_field: 增加的字段,坐标纬度
mutate: 数据的修改、删除、类型转换
convert: 将坐标转为float类型
convert: http的响应代码字段转换成 int
convert: http的传输字节转换成int
replace: 替换一个字段
remove_field: 移除message 的内容,因为数据已经过滤了一份,这里不必在用到该字段了。不然会相当于存两份
date: 时间处理,该插件很实用,主要是用你日志文件中事件的事件来对timestamp进行转换,导入老的数据必备!在这里曾让我困惑了很久哦。别再掉坑了
match:匹配到timestamp字段后,修改格式为dd/MMM/yyyy:HH:mm:ss Z
mutate:数据修改
remove_field: 移除timestamp字段。

output段:
elasticsearch:输出到es中
host: es的主机ip+端口或者es 的FQDN+端口
index: 为日志创建索引logstash-nginx-access-*,这里也就是kibana那里添加索引时的名称

2.创建logstash配置文件从此,大家还要去建设构造grok使用的表明式,因为logstash 的配备文件里定义的使用转变格式语法,先去logstash的设置目录,默许安装位置:/opt/logstash/下,在该岗位创建贰个目录patterns:

[email protected] ~]# mkdir -pv /opt/logstash/patterns
mkdir: created directory ‘/opt/logstash/patterns’

在该目录下创办格式文件,内容如下:

[[email protected] ~]# cat /opt/logstash/patterns/nginx
NGUSERNAME [a-zA-Z.@-+_%]+
NGUSER %{NGUSERNAME}
NGINXACCESS %{IPORHOST:clientip} - %{NOTSPACE:remote_user} [%{HTTPDATE:timestamp}] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-) %{QS:referrer} %{QS:agent} "%{IPV4:http_x_forwarded_for}"

注:该格式的末尾有三个http_x_forwarded_for,因为大家日志是启用了cdn代理的。日志的第一段都是cdn的,最后一段才是真的客户的ip。

急需分析的nginx日志路径不在私下认可的职位,所以小编根据logstash 的布局,建个目录先,并将日志文件拷贝进去:

[[email protected] ~]# mkdir -pv /data/nginx-logs/
[[email protected] ~]# ll /data/nginx-logs/
total 123476
-rw-r--r-- 1 nginx adm  126430102 Sep  9 16:02 access.log

3.然后正是logstash中配备的吉优IP的数据库剖判ip了,这里是用了开源的ip数据源,用来分析客户端的ip归属地。官方网站在这里:MAXMIND

先把库下载到本地:

[[email protected] ~]# wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz

解压到当前路线,并将它移动到上述大家安插的门路下,当然别的渠道也是能够的,然则logstash 的安插文件也急需转移,如下:

[[email protected] ~]# gzip -d GeoLiteCity.dat.gz
[[email protected] ~]# mv GeoLiteCity.dat /etc/logstash/.

测验下logstash 的铺排文件呢,使用它自带的授命去测量检验,如下:

[[email protected] ~]# /opt/logstash/bin/logstash -t -f /etc/logstash/conf.d/nginx_access.conf
Configuration OK

注:-t -f 参数顺序不可能乱,格式便是定死的,-f 前面要跟配置文件;还也许有正是该测验只能测量试验语法,标点符号。就算逻辑上有错误的话,仍是能够运行的。这里就须求在行业内部开发银行运营时,多关怀日志文件,地点:/var/log/logstash/logstash.log

  *注意:环境默认和上一篇大致一样,默认安装好了E、L、K、3个软件即可。当然了,还有必需的java环境JDK*

三、配置Elasticsearch

1.先修改es的安排文件如下(存放路线:/etc/elasticsearch/elasticsearch.yml):

[[email protected] ~]# egrep -v '^#|^$' /etc/elasticsearch/elasticsearch.yml
node.name: es-1
path.data: /data/elasticsearch/
network.host: 127.0.0.1
http.port: 9200

另外内容都维持暗中认可。首要修改了es的数码存放路线,它暗中同意的路径在根目录下,由于容积太小,而/data容积大。 依据你的其真实情况况思虑而定。

成立数量寄放目录:

[[email protected] ~]# mkdir -pv /data/elasticsearch

修改该文件的权力所属者:

[[email protected] ~]# chown -R elasticsearch.elasticsearch /data/elasticsearch/

而后重启es,重启logstash。

[[email protected] ~]# systemctl restart elasticsearch
[[email protected] ~]# systemctl restart logstash

反省运转状态:

[[email protected] ~]# netstat -ulntp | grep java
tcp6       0      0 127.0.0.1:9200          :::*                    LISTEN      25988/java
tcp6       0      0 127.0.0.1:9300          :::*                    LISTEN      25988/java

[[email protected] ~]# systemctl status logstash
● logstash.service - LSB: Starts Logstash as a daemon.
   Loaded: loaded (/etc/rc.d/init.d/logstash)
   Active: active (running) since Fri 2016-09-09 16:14:17 CST; 38s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 27195 ExecStart=/etc/rc.d/init.d/logstash start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/logstash.service
           └─27201 /bin/java -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -Djava.awt.headless=true -XX:CMSInitiatingOccupancyFraction=75 -XX...

Sep 09 16:14:17 log-monitor systemd[1]: Starting LSB: Starts Logstash as a daemon....
Sep 09 16:14:17 log-monitor logstash[27195]: logstash started.
Sep 09 16:14:17 log-monitor systemd[1]: Started LSB: Starts Logstash as a daemon..

logstash 的日志查看:

[[email protected] ~]# tail -f /var/log/logstash/logstash.log
{:timestamp=>"2016-09-09T16:14:26.732000+0800", :message=>"Pipeline main started"}

从地点能够看看运营是例行的,大家在去看下es里的目录,应该已经在倒入数据了。

[[email protected] ~]# curl 'localhost:9200/_cat/indices?v'
health status index                            pri rep docs.count docs.deleted store.size pri.store.size
yellow open   .kibana                            1   1          1            0      3.1kb          3.1kb
yellow open   logstash-nginx-access-2016.09.08   5   1      69893            0     24.2mb         24.2mb
yellow open   logstash-nginx-access-2016.09.09   5   1        339            0    273.8kb        273.8kb

从地点看到数据现已在日益的导入了。大致要求一段时间,因为涉及到日志的过滤写入等。可是也极快呀。我们有时不去安插kibana。先去安装nginx做个代理。

  起首在此之前,请允许作者插入一张图,来自线上自己的测验图:(如若有亟待的童鞋,能够私信笔者,笔者能够把登入帐号给你。。)

四、安装nginx 配置kibana代理

1.下载牢固版的nginx,这里使用yum安装。恐怕也能够挑选编写翻译,个人感觉rpm包已经够用能够动用。

[[email protected] ~]# wget https://nginx.org/packages/rhel/7/x86_64/RPMS/nginx-1.10.0-1.el7.ngx.x86_64.rpm

2.安装,并修改暗中认可的布局文件

[[email protected] ~]# yum localinstall nginx-1.10.0-1.el7.ngx.x86_64.rpm –y

先将暗中认可的default.conf 移动到其余目录中,恐怕直接删除也能够。作者是直接删除了。然后新建三个elk.conf配置文件,内容如下:

[[email protected] ~]# cat /etc/nginx/conf.d/elk.conf
upstream elk {
    ip_hash;
    server 172.17.0.1:5601 max_fails=3 fail_timeout=30s;
    server 172.17.0.1:5601 max_fails=3 fail_timeout=30s;
}

server {
    listen 80;
    server_name localhost;
    server_tokens off;

    #close slow conn
    client_body_timeout 5s;
    client_header_timeout 5s;

    location / {
        proxy_pass http://elk/;
        index index.html index.htm;
        #auth
        auth_basic "ELK Private,Don't try GJ!";
        auth_basic_user_file /etc/nginx/.htpasswd;
    }


}

文件内容大约解释:

此间省略500字

3.新建一个http基本注脚客商,使用的是httpd的一个工具组件,叫httpd-tools,用于转移加密的客商数据库

[[email protected] ~]# yum install httpd-tools –y

新建顾客:

[[email protected] ~]# htpasswd -cm /etc/nginx/.htpasswd elk
New password:
Re-type new password:
Adding password for user elk

重启nginx,并检查意况

[[email protected] ~]# systemctl start nginx
[[email protected] ~]# systemctl status nginx
● nginx.service - nginx - high performance web server
   Loaded: loaded (/usr/lib/systemd/system/nginx.service; disabled; vendor preset: disabled)
   Active: active (running) since Fri 2016-09-09 12:02:41 CST; 47s ago
     Docs: http://nginx.org/en/docs/
  Process: 26422 ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf (code=exited, status=0/SUCCESS)
  Process: 26420 ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf (code=exited, status=0/SUCCESS)
 Main PID: 26424 (nginx)
   CGroup: /system.slice/nginx.service
           ├─26424 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
           └─26425 nginx: worker process

Sep 09 12:02:41 log-monitor systemd[1]: Starting nginx - high performance web server...
Sep 09 12:02:41 log-monitor nginx[26420]: nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
Sep 09 12:02:41 log-monitor nginx[26420]: nginx: configuration file /etc/nginx/nginx.conf test is successful
Sep 09 12:02:41 log-monitor systemd[1]: Started nginx - high performance web server.
Sep 09 12:03:13 log-monitor systemd[1]: Started nginx - high performance web server.
Sep 09 12:03:26 log-monitor systemd[1]: Started nginx - high performance web server.

自己争辨监听端口:

[[email protected] ~]# netstat -ultpn | grep :8888
tcp        0      0 0.0.0.0:8888            0.0.0.0:*               LISTEN      26424/nginx: master

修改iptables防火墙,插入以下准绳,允许外面访问8888端口。由于大家最后是运用8888端口对外提供劳务的,所以kibana的5601,以及es的9200、9300端口都无需对外

[[email protected] ~]# iptables -I INPUT -p tcp -m state --state NEW --dport 8888 -j ACCEPT

4.做客一下网址,验证下:

来源:飞走不可-原文http://www.cnblogs.com/hanyifeng/p/5857875.html

输入大家创建的elk客商,登入后,可以健康的探问kibana分界面就能够,如下图:

丰硕三个目录,这几个目录名字正是大家在此以前在logstash配置文件中程导弹入es中的那三个,本文中是logstash-nginx-access-*,如下图:

查看索引,近来即兴贰个,设置为加星,正是discover默许卓绝体现的。

接下来大家点击Discover,就可以看到大家倒入的多寡了。如下图:

来源:飞走不可-原文http://www.cnblogs.com/hanyifeng/p/5857875.html

最终那是小编的dashboard,重要总括了web站点的客商端ip地址归属地、总的http传输次数、top10 来源ip、top10 央求点击页面、错误央求趋势、等等,如下,上几张图:

威尼斯手机娱乐官网 1

五、小结

ELK优势:

  • 本着网络攻击事件时,方便运转人士检索溯源。
  • 日志聚焦访问存款和储蓄,方便后续深入分析
  • 优化专门的工作、系统时,做到有据可依
    ——> 来自虎神’s总计

搭建的长河中确确实实蛮艰苦的(究竟都以爱沙尼亚语),出了难题只可以google,从不领会到熟知,也总算种经历啦。不发牢骚了。。

画图轻松,仿佛虎大拿所说:“先学会了何等查,画图任天由命就差不离多了。当然还要领悟里面每一种字段的意义”。小编的下篇文章将会首要说下哪些画图(满含地点这一个图中样式哈)。有未有一些小福利的痛感?

End.

转发请阐明来源36大数据(36dsj.com):36大数据 » 利用 ELK系统一分配析Nginx日志并对数据开展可视化体现

nginx日志文件之中一行:

218.75.177.193 - - [03/Sep/2016:03:34:06 +0800] "POST /newRelease/everyoneLearnAjax HTTP/1.1" 200 370 "http://www.xxxxx.com/" 
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36" "36.22.6.130"

nginx 服务器日志的log_format格式:

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

二、配置logstash

1.修改配置文件,/etc/logstash/conf.d下。创制一个新的安顿文件,内容如下:

威尼斯手机娱乐官网 2

[root@log-monitor ~]# cat /etc/logstash/conf.d/nginx_access.conf
input {
    file {
        path => [ "/data/nginx-logs/access.log" ]
        start_position => "beginning"
        ignore_older => 0
    }
}

filter {
    grok {
        match => { "message" => "%{NGINXACCESS}" }

    }
    geoip {
      source => "http_x_forwarded_for"
      target => "geoip"
      database => "/etc/logstash/GeoLiteCity.dat"
      add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
      add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
    }

    mutate {
      convert => [ "[geoip][coordinates]", "float" ]
      convert => [ "response","integer" ]
      convert => [ "bytes","integer" ]
      replace => { "type" => "nginx_access" }
      remove_field => "message"
    }

    date {
      match => [ "timestamp","dd/MMM/yyyy:HH:mm:ss Z"]

    }
    mutate {
      remove_field => "timestamp"

    }


}
output {
    elasticsearch {
        hosts => ["127.0.0.1:9200"]
        index => "logstash-nginx-access-%{+YYYY.MM.dd}"
    }
    stdout {codec => rubydebug}
}

View Code

文件内容概略解释:


*Logstash 分为 Input、Output、Filter、Codec 等多种plugins。*
*Input:数据的输入源也支持多种插件,如elk官网的beats、file、graphite、http、kafka、redis、exec等等等、、、*
*Output:数据的输出目的也支持多种插件,如本文的elasticsearch,当然这可能也是最常用的一种输出。以及exec、stdout终端、graphite、http、zabbix、nagios、redmine等等、、、*
*Filter:使用过滤器根据日志事件的特征,对数据事件进行处理过滤后,在输出。支持grok、date、geoip、mutate、ruby、json、kv、csv、checksum、dns、drop、xml等等、、*
*Codec:编码插件,改变事件数据的表示方式,它可以作为对输入或输出运行该过滤。和其它产品结合,如rubydebug、graphite、fluent、nmap等等。*
*具体以上插件的细节可以去官网,介绍的挺详细的。下面说下该篇中的配置文件的含义:*

*input段:*
* file:使用file 作为输入源*
*  path: 日志的路径,支持/var/log*.log,及[ "/var/log/messages", "/var/log/*.log" ] 格式*
*  start_position: 从文件的开始读取事件。另外还有end参数*
*  ignore_older: 忽略早于24小时(默认值86400)的日志,设为0,即关闭该功能,以防止文件中的事件由于是早期的被logstash所忽略。*

*filter段:*
* grok:数据结构化转换工具*
*  match:匹配条件格式,将nginx日志作为message变量,并应用grok条件NGINXACCESS进行转换*
* geoip:该过滤器从geoip中匹配ip字段,显示该ip的地理位置*
*  source:ip来源字段,这里我们选择的是日志文件中的最后一个字段,如果你的是默认的nginx日志,选择第一个字段即可*
*  target:指定插入的logstash字断目标存储为geoip*
*  database:geoip数据库的存放路径*
*  add_field: 增加的字段,坐标经度*
*  add_field: 增加的字段,坐标纬度*
* mutate: 数据的修改、删除、类型转换*
*  convert: 将坐标转为float类型*
*  convert: http的响应代码字段转换成 int*
*  convert: http的传输字节转换成int*
*  replace: 替换一个字段*
*  remove_field: 移除message 的内容,因为数据已经过滤了一份,这里不必在用到该字段了。不然会相当于存两份*
* date: 时间处理,该插件很实用,主要是用你日志文件中事件的事件来对timestamp进行转换,导入老的数据必备!在这里曾让我困惑了很久哦。别再掉坑了*
*  match:匹配到timestamp字段后,修改格式为dd/MMM/yyyy:HH:mm:ss Z*
* mutate:数据修改*
*  remove_field: 移除timestamp字段。*

*output段:*
* elasticsearch:输出到es中*
*  host: es的主机ip+端口或者es 的FQDN+端口*
*  index: 为日志创建索引logstash-nginx-access-*,这里也就是kibana那里添加索引时的名称*


2.开立logstash配置文件之后,大家还要去创设grok使用的表达式,因为logstash 的布置文件里定义的行使转变格式语法,先去logstash的安装目录,默许安装地点:/opt/logstash/下,在该职位成立三个目录patterns:

root@log-monitor ~]# mkdir -pv /opt/logstash/patterns
mkdir: created directory ‘/opt/logstash/patterns’

在该目录下创建格式文件,内容如下:

[root@log-monitor ~]# cat /opt/logstash/patterns/nginx
NGUSERNAME [a-zA-Z.@-+_%]+
NGUSER %{NGUSERNAME}
NGINXACCESS %{IPORHOST:clientip} - %{NOTSPACE:remote_user} [%{HTTPDATE:timestamp}] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-) %{QS:referrer} %{QS:agent} "%{IPV4:http_x_forwarded_for}"

*  注:该格式的终极有八个http_x_forwarded_for,因为我们日志是启用了cdn代理的。日志的首先段皆以cdn的,最后一段才是真正顾客的ip。*

*
*须要深入分析的nginx日志路线不在暗中同意的职位,所以本身依照logstash 的配置,建个目录先,并将日志文件拷贝进去:

[root@log-monitor ~]# mkdir -pv /data/nginx-logs/
[root@log-monitor ~]# ll /data/nginx-logs/
total 123476
-rw-r--r-- 1 nginx adm  126430102 Sep  9 16:02 access.log

3.然后便是logstash中布局的吉优IP的数据库剖判ip了,这里是用了开源的ip数据源,用来解析顾客端的ip归属地。官网在此地:MAXMIND

先把库下载到当地:

[root@log-monitor ~]# wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz

解压到当前路径,并将它移动到上述大家安插的不二等秘书籍下,当然另外渠道也是能够的,可是logstash 的安插文件也亟需改动,如下:

[root@log-monitor ~]# gzip -d GeoLiteCity.dat.gz
[root@log-monitor ~]# mv GeoLiteCity.dat /etc/logstash/.

测量检验下logstash 的配备文件呢,使用它自带的一声令下去测验,如下:

[root@log-monitor ~]# /opt/logstash/bin/logstash -t -f /etc/logstash/conf.d/nginx_access.conf
Configuration OK

*  注:-t -f 参数顺序不能够乱,格式正是定死的,-f 前面要跟配置文件;还或者有正是该测验只能测验语法,标点符号。假诺逻辑上有错误的话,还是能够运营的。这里就须求在正规开发银行运转时,多关切日志文件,地方:/var/log/logstash/logstash.log*

三、配置Elasticsearch

1.先修改es的布署文件如下(寄存路线:/etc/elasticsearch/elasticsearch.yml):

[root@log-monitor ~]# egrep -v '^#|^$' /etc/elasticsearch/elasticsearch.yml
node.name: es-1
path.data: /data/elasticsearch/
network.host: 127.0.0.1
http.port: 9200

其他内容都维持暗中认可。首要修改了es的数额寄放路线,它暗中认可的路子在根目录下,由于体积太小,而/data体量大。 根据你的实际景况考虑而定。

开创数量寄放目录:

[root@log-monitor ~]# mkdir -pv /data/elasticsearch

修改该公文的权柄所属者:

[root@log-monitor ~]# chown -R elasticsearch.elasticsearch /data/elasticsearch/

尔后重启es,重启logstash。

[root@log-monitor ~]# systemctl restart elasticsearch
[root@log-monitor ~]# systemctl restart logstash

自己辩论运维状态:

[root@log-monitor ~]# netstat -ulntp | grep java
tcp6       0      0 127.0.0.1:9200          :::*                    LISTEN      25988/java
tcp6       0      0 127.0.0.1:9300          :::*                    LISTEN      25988/java

本文由威尼斯手机娱乐官网发布于网络运维,转载请注明出处:【威尼斯手机娱乐官网】ELK系统分析Nginx日志并对

上一篇:威尼斯手机娱乐官网:无标题文章,如何为服务 下一篇:怎么样通过数据主导虚构化本领来兑现弹性可增
猜你喜欢
热门排行
精彩图文