vim /etc/logstash/conf.d/
filter模块的作用:过滤,{在一个大的真空管里面,中间有一个过滤网,只有比这个小的东西能过去,大的会拦住}
在grok中使用match进行选择,所传送过来的是下面这样。希望把他们变成ip有一个件,一堆一堆的键值,方便索引,契合到 jecn。es存储的日志格式是jecn格式。
Nginx的日志格式:
怎么去看,
grep log_format -A 3 /etc/nginx/nginx.conf
vim /etc/nginx/nginx.conf
这是nginx日志产生时的时候所遵循的一个格式log_format main。它要以这种形式去打印,打印到access_log日志中,或者error_log日志中。
$remote_addr 远程的ip地址
- $remote_user 登录的用户
[$time_local] 本地的时间
"$request" 请求的uri {第一部分请求方法 2。uri地址 3.http+http协议的版本}
'$status 状态码
$body_bytes_sent 发送的数据
"$http_referer" ' 匿名了(url)uri包括url,uri比url少ip协议头+域名
'"$http_user_agent" 用户用的浏览器的版本"$http_x_forwarded_for"'; 客户端
【注意】少熬夜,多看书。