使用filebeat采集Nginx日志到ES

2026年4月18日 00:00

filebeat是传统elk组件中logstach的升级替代，能够高性能的采集一些中间件的日志到es中，供检索分析。

1.安装filebeat

首先要安装filebeat到nginx所在服务器，因为我的服务器是rocky linux属于redhat系，故这里通过yum安装，先设置安装源

导入GPG-KEY

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

新建一个elastic.repo文件在/etc/yum.repos.d下，并粘贴安装源地址

vim /etc/yum.repos.d/elastic.repo

[elastic-9.x]name=Elastic repository for 9.x packagesbaseurl=https://artifacts.elastic.co/packages/9.x/yumgpgcheck=1gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearchenabled=1autorefresh=1type=rpm-md

接下来执行安装，直到安装完成

yum install filebeat -y

2.设置nginx和filebeat

首先确认nginx的日志路径和日志格式，一般日志路径默认就是：

/var/log/nginx/access.log 常规访问日志
/var/log/nginx/error.log 错误日志

在nginx.conf配置文件中，默认的日志格式是：

log_format  main  ' $remote_addr - $remote_user [$time_local] "$request" '                  '$status $body_bytes_sent "$http_referer" '                  '"$http_user_agent" "$http_x_forwarded_for"';

为了区分各个主机的访问记录，我选择增加一个主机的字段：$host

log_format  main  '$host $remote_addr - $remote_user [$time_local] "$request" '                  '$status $body_bytes_sent "$http_referer" '                  '"$http_user_agent" "$http_x_forwarded_for"';

亲测filebeat可以识别上述的日志格式，自动提取有效信息

然后设置filebeat，通过yum安装的filebeat，默认全局配置文件位于/etc/filebeat/filebeat.yml，有这样几项需要修改

output.elasticsearch:  # 改成自己es地址和端口  hosts: ["localhost:9016"]  # 改成自己的索引格式  index: "nginx-logs-%{+yyyy.MM.dd}"  # 通信协议按需要修改  protocol: "http"  # es用户名密码，必须设置  username: "elastic"  password: "***************"# 需要新增这两项，索引数据格式模板名称setup.template.name: "tx-custom-logs"setup.template.pattern: "tx-custom-logs-*"

然后对nginx的采集功能进行设置，filebeat支持很多中间件的日志采集，通过yum安装的filebeat，默认的各中间件的采集配置文件位于：/etc/filebeat/modules.d/

首先要将默认的nginx配置文件nginx.yml.disabled复制出一份nginx.yml，因为最后filebeat只会自动导入读取.yml结尾的文件

cp /etc/filebeat/modules.d/nginx.yml.disabled /etc/filebeat/modules.d/nginx.yml

vim编辑/etc/filebeat/modules.d/nginx.yml配置文件，针对nginx的采集进行配置

- module: nginx  # 打开常规访问日志采集，指定日志路径  access:    enabled: true    var.paths: ["/var/log/nginx/access.log"]    var.timezone: "Asia/Shanghai"  # 打开错误日志采集，指定日志路径  error:    enabled: true    var.paths: ["/var/log/nginx/error.log"]    var.timezone: "Asia/Shanghai"

都修改完成后，通过filebeat test config命令，验证配置文件是否有语法错误

[root@VM-0-3-rockylinux ~]# filebeat test configConfig OK

然后启动filebeat，并且能看到进程，启动成功

[root@VM-0-3-rockylinux ~]# systemctl start filebeat[root@VM-0-3-rockylinux ~]# ps -ef | grep filebeatroot      279214       1  0 Apr17 ?        00:00:09 /usr/share/filebeat/bin/filebeat --environment systemd -c /etc/filebeat/filebeat.yml --path.home /usr/share/filebeat --path.config /etc/filebeat --path.data /var/lib/filebeat --path.logs /var/log/filebeatroot      484905  454652  0 14:33 pts/2    00:00:00 grep --color=auto filebeat

3.查看索引

登录kibana，打开开发工具，就能看到filebeat建的索引和采集到的日志了，还可以根据业务需要制作图表等

还可以通过检索，通过链接和访问次数进行聚合，查出一些攻击和刺探的恶意请求，例如：

GET /nginx-logs-2026.04.18/_search{  "size": 0,   "aggs": {    "ip_counts": {      "terms": {        "field": "url.domain.keyword",       "size": 20000      },      "aggs": {        "domains_per_ip": {          "terms": {            "field": "source.ip.keyword",            "size": 20000                      },          "aggs": {            "domains_per_path": {              "terms": {                "field": "url.path.keyword",                "size": 20000                              }            }          }        }      }    }  }}

偷梁换柱 — 解决『出境易暂不支持此应用。』

obaby@mars

作者obaby

2026年4月17日 15:30

前几天去买手机的时候，销售小哥说，如果你不喜欢这个纯血鸿蒙，或者感觉无法满足需求可以回来去二楼，找技术把系统进行降级。

当时我在想：对于我这种买手机不怎么玩游戏或者需求没那么多的人来说，应该能解决我的绝大多数需求，毕竟系统上还有出境易、卓易通。

然而事情总有例外，自己常用的浏览器vivaldi发现竟然无法安装，这就让人非常的抑郁了。

下载apk安装的时候提示：出境易暂不支持此应用。

哎，咱们可不兴这么搞啊，这就离谱啦。我已我不稳定的智商来猜测这个东西肯定是有个神马白名单或者黑名单机制，至于黑白名单，到时也没那么关键，大不了就改个包名嘛。然而安装 apktool m的时候同样的提示也出现了，这个东西大概率就是黑名单了。

算鸟，算鸟，直接用模拟器改吧：

点击快速编辑：

原来的包名：com.vivaldi.brower,咱们假装是uc咋样呢：

反正我也不用uc浏览器，嘎嘎。

修改之后，发送到手机进行安装，一切顺利，嘻嘻：

鸿蒙next：我要验牌！牌没有问题！

尝试同步功能：

完美！

到这里就结束啦，对于同步问题，有的宝子说非得搭梯子，也不一定。可以直接修改hosts，可以在路由器配置或者dns配置，或者神马别的地方配置：

vivaldi.com. 172.66.165.60
bifrost.vivaldi.com. 31.209.137.10
cdn.jsdelivr.net. 151.101.89.229

Hello Halo

如诗

作者Administrator

2026年4月17日 10:23

如果你看到了这一篇文章，那么证明你已经安装成功了，感谢使用 Halo 进行创作，希望能够使用愉快。

生日快乐 — 又是一年二十九

obaby@mars

作者obaby

2026年4月16日 13:52

年复一年，时间似乎过的很快，又过的很慢。今天一直在忙各种事情，直到现在才有片刻的空闲，来庆祝下自己的生日。

这一年发生了很多意料之外的事情，甚至有的事情到现在还没有结论，后续如何更是一个未知数。然而，不管如何，生活还是要继续的。这慢慢人生，没有太多的时间去彷徨，去挣扎，去苦闷。

好几天之前，刷到一个视频，我跟对象说，我要把这个在我生日那天发朋友圈，之前保存下载，今天早上就出现在了自己的朋友圈了，虽然没人点赞，没人回复，我倒是也不在乎，自己开心就好。

至于生日礼物，上周的时候对象就问自己想要什么。

『我要三折叠』

『没有』

『我要双折叠』

『也没有』

对于这种折叠屏手机，只是没用过，有点喜欢，可能也没那么喜欢。昨天中午，趁着午饭的时间，去乐客城外面的华为体验店看了一眼。

只是出来之后，原来的华为竟然变成了小米。高德搜了一下发现地标还没变，但是在其他的地方有另外两个，只好往另外一边的华为体验店走。

中午时间，店里没几个顾客，连店员都没几个。看了下三折叠跟双折叠，三折叠太贵，双折叠的尺寸总是觉得有些奇怪。

双折叠的感觉就是叠起来，打开比例看着都挺奇怪的。三折叠的价格，实在是不敢恭维，快两万块钱买个手机，这已经远远超出自己的可承受范围了。走之前给对象发消息，得到了明确答复，坚决不同意买三折叠。

最后，目标还是落在了mate 80 和pure 80上，至于mate，那个中间的摄像头总是感觉有些别扭，店员还说，那个特别商务，看起来比较大气。问题是，我不喜欢商务风啊。

鉴于线下还能领国补，虽然没有自己想要的金色，还是果断下单了，最终选的的白色，黑色也不喜欢。

还给了一堆乱七八糟的赠品，聊胜于无吧。

之前的p70 pro彻底放弃了，而至于30，也的确支撑的有点吃力，至于90，新机价格大概率比较贵，所以现在马上换代了，80 就80吧。

晚上回家的时候，收到了对象送的猫和老鼠的小手办，老鼠被压成鼠饼的那一集，嘻嘻。

中午的时候，买的新的车载空气清新剂和另外一条瑜伽裤到了，之所以再买一条是感觉上一条的弹力不够大，跳绳的时候没有足够的压力支撑。

上面是原来的，现在已经没什么味道了、下面是新买的。

味道还是蛮清新的，喜欢女生味的可以考虑下哦，香型：香奈五号。香奈儿的就不考虑了哈，那个太贵了，很多仿这个香味的。

比原来的大一圈，放到前面的杯架刚刚合适。

至于瑜伽裤，感觉弹力的确比上一条要好一些，价格也自然是贵了点，上一条黑色瑜伽裤的两倍。

上身效果：

最后，贴一下现在的手机壁纸，希望锦鲤给所有人都带来好运哦：

我要赚钱钱我要暴富富

我要变美变瘦变酷酷

我要钱多多我要买车车

不要因为AI使自己的停止思考！

倦意博客

作者倦意

2026年4月15日 23:08

注意：本文章纯人工编写，没有一点AI的参与。最近用Vibe coding，主要是现在用AI写代码方便，以前的 […]

阅读视图

1.安装filebeat

2.设置nginx和filebeat

3.查看索引