Jes*_*son 4 json nginx elastic-stack filebeat
我的 NGINX 日志格式为 JSON:
log_format le_json '{ "@timestamp": "$time_iso8601", '
'"remote_addr": "$remote_addr", '
'"remote_user": "$remote_user", '
'"body_bytes_sent": "$body_bytes_sent", '
'"status": $status, '
'"request": "$request", '
'"request_method": "$request_method", '
'"response_time": $upstream_response_time, '
'"http_referrer": "$http_referer", '
'"http_user_agent": "$http_user_agent" }';
我的日志被 filebeat 获取并发送到具有以下配置的 Logstash:
input {
beats {
port => 5044
codec => "json"
}
}
filter {
geoip {
database => "C:/GeoLiteCity.dat"
source => "[remote_addr]"
}
}
output {
elasticsearch {
template => "C:/ELK/logstash-2.2.2/templates/elasticsearch-template.json"
template_overwrite => true
hosts => ["127.0.0.1"]
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
document_type => "%{[@metadata][type]}"
}
}
我遇到的问题是 $upstream_response_time。当没有响应时间时,NGINX 在这篇文章上放一个“-”。正如您所看到的,我没有将 "" 放在 $upstream_response_time 周围,因为我希望它是一个数字,这样我就可以在 Kibana 中使用它执行计算并显示。发送“-”时,我在 Logstash 中收到 jsonparsefailure,因为它不是数字。
我想将所有“-”设置为 0。这样做的最佳方法是什么?我尝试在 nginx-config 中过滤它没有成功。我认为它需要在运送到 Logstash 之前完成,因为那是 parsefailure 发生的地方。
有任何想法吗?
尝试这个:
map $upstream_response_time $temprt {
default $upstream_response_time;
"" 0;
}
$upstream_response_time数字或未设置。Nginx 将未设置的变量记录为破折号 ( -),但map将它们视为空字符串。
| 归档时间: |
|
| 查看次数: |
1981 次 |
| 最近记录: |