Как настроить индексацию логов веб-сервера (например, Nginx) для мониторинга?

Question

Как настроить индексацию логов веб-сервера (например, Nginx) для мониторинга?

Тип вопроса: Мониторинг и логирование Вероятность: 23% Категория: Devops Инженер

Ответ

Для эффективной индексации и анализа логов веб-сервера я использовал стек **EFK (Elasticsearch, Fluentd/Fluent Bit, Kibana)** или его вариацию **ELK (с Logstash)**. Вот типичный pipeline для Nginx. **Архитектура:** `Nginx Access/Error Logs` → `Fluent Bit (агент)` → `Kafka (буфер, опционально)` → `Fluentd (агрегатор)` → `Elasticsearch` → `Kibana (визуализация)`. **1. Конфигурация Fluent Bit для сбора логов (устанавливается на каждой ноде с Nginx):** ```ini # /etc/fluent-bit/fluent-bit.conf [SERVICE] Parsers_File /etc/fluent-bit/parsers.conf [INPUT] Name tail Path /var/log/nginx/access.log Parser nginx Tag nginx.access Mem_Buf_Limit 5MB [OUTPUT] Name forward Match * Host fluentd-aggregator.example.com Port 24224 ``` **2. Парсер для формата Nginx (parsers.conf):** ```ini [PARSER] Name nginx Format regex Regex ^(?[^ ]*) (?[^ ]*) (?[^ ]*) [(?[^]]*)] "(?S+)(?: +(?[^ ]*)s*HTTPS*)?" (?

[^ ]*) (?[^ ]*)(?: "(?[^"]*)" "(?[^"]*)" "(?[^"]*)")?$
    Time_Key time
    Time_Format %d/%b/%Y:%H:%M:%S %z
```

**3. Конфигурация Fluentd-агрегатора для обогащения и отправки в Elasticsearch:**
```xml
# /etc/fluent/fluent.conf

  @type forward
  port 24224
  bind 0.0.0.0



  @type record_transformer
  
    hostname ${hostname}
    service_name nginx
  



  @type elasticsearch
  host es-cluster.example.com
  port 9200
  logstash_format true
  logstash_prefix nginx-access
  # Управление жизненным циклом индексов (ILM)
  index_date_pattern "now/d"
  
    @type file
    path /var/log/fluentd/buffer/nginx
    flush_interval 5s
  

```

**4. В Elasticsearch настраивается Index Lifecycle Management (ILM) политика:**
*   **Hot phase:** Индексы последних 7 дней, высокая производительность.
*   **Delete phase:** Автоматическое удаление логов старше 30 дней.

**5. В Kibana создаются дашборды** для мониторинга: количество запросов (по кодам ответа 2xx/4xx/5xx), топ медленных эндпоинтов (если лог включает `$request_time`), географическое распределение трафика (по полю `remote`).

**Альтернативный легковесный стек:** Для менее ресурсоёмких решений можно использовать **Grafana Loki** (для хранения логов) и **Promtail** (для их сбора), с запросами через LogQL в Grafana.


                                    
                                                                            
                                            
                                        

                                        
                                            
                                                Ответ 18+ 🔞
                                                
                                                    Да ты посмотри, что люди придумывают, ёпта! Вот сидишь ты с этими логами от Nginx, а они, сука, как вода из дырявого ведра — льются и льются. И как в этом всём разобраться? Ну, есть же нормальные, рабочие способы, не то что эти кустарные скрипты на коленке.

Слушай сюда, я тебе сейчас популярно объясню, как это обычно крутят. Берут стек **EFK (Elasticsearch, Fluentd/Fluent Bit, Kibana)** или его брата-близнеца **ELK (там вместо Fluentd — Logstash)**. Схема, в принципе, простая, но овердохуища надёжная.

**Вот как это всё обычно едет:**
`Логи Nginx (доступ и ошибки)` → `Fluent Bit (он как агент-сборщик)` → `Kafka (это буфер, на всякий пожарный, можно и без него)` → `Fluentd (главный агрегатор, всё собирает в кучу)` → `Elasticsearch (тут всё хранится)` → `Kibana (тут ты это всё разглядываешь красиво)`.

**1. Настраиваем Fluent Bit, чтобы он на каждой машине с Nginx за логами следил.**
Конфиг примерно такой, чувак:
```ini
# /etc/fluent-bit/fluent-bit.conf
[SERVICE]
    Parsers_File /etc/fluent-bit/parsers.conf

[INPUT]
    Name tail
    Path /var/log/nginx/access.log
    Parser nginx
    Tag nginx.access
    Mem_Buf_Limit 5MB

[OUTPUT]
    Name forward
    Match *
    Host fluentd-aggregator.example.com
    Port 24224
```

**2. А без парсера — нихуя не получится. Он строки в структуру разбирает.**
Вот тебе пример для стандартного формата Nginx:
```ini
[PARSER]
    Name nginx
    Format regex
    Regex ^(?[^ ]*) (?[^ ]*) (?[^ ]*) [(?[^]]*)] "(?S+)(?: +(?[^ ]*)s*HTTPS*)?" (?[^ ]*) (?[^ ]*)(?: "(?[^"]*)" "(?[^"]*)" "(?[^"]*)")?$
    Time_Key time
    Time_Format %d/%b/%Y:%H:%M:%S %z
```

**3. Теперь главный агрегатор, Fluentd. Он принимает, обогащает и гонит дальше в Elasticsearch.**
```xml
# /etc/fluent/fluent.conf

  @type forward
  port 24224
  bind 0.0.0.0



  @type record_transformer
  
    hostname ${hostname}
    service_name nginx
  



  @type elasticsearch
  host es-cluster.example.com
  port 9200
  logstash_format true
  logstash_prefix nginx-access
  # Это чтобы индексами управлять по-умному (ILM)
  index_date_pattern "now/d"
  
    @type file
    path /var/log/fluentd/buffer/nginx
    flush_interval 5s
  

```

**4. А в Elasticsearch, бля, без политики ILM — вообще пипец.** Диск быстро забьётся. Настраиваешь так:
*   **Hot phase:** Индексы за последнюю неделю. Тут скорость — всё.
*   **Delete phase:** Всё, что старше месяца — нахуй, в корзину. Автоматом.

**5. Ну и финальный аккорд — Kibana.** Тут уже творишь что хочешь: дашборды строй, чтобы смотреть, сколько запросов, где ошибки (эти, бля, 4xx и 5xx), какие эндпоинты тормозят (если в лог `$request_time` пишешь), откуда народ вообще ломится.

А если тебе эта махина кажется слишком жирной, есть вариант полегче. **Grafana Loki** с **Promtail**. Ресурсов жрёт меньше, а в Grafane через их LogQL тоже всё можно посмотреть. Выбор, в общем, есть, чувак.

Ответ

Ответ 18+ 🔞

Оформление подписки

Международная оплата

Вход на сайт

Введите код

Оформление подписки