Beats：使用ElasticStack对NginxWeb服务器监控

Nginx 是一种非常流行的开源 Web 服务器&＃xff0c;为全球数百万个应用程序提供服务。 Nginx 仅次于 Apache&＃xff0c;这得益于它作为 Web 服务器的流行&＃xff08;它还可以充当反向代理&＃xff0c;HTTP 缓存和负载平衡器&＃xff09;&＃xff0c;以其有效地提供静态内容和整体性能的方式。

从操作和安全性的角度来看&＃xff0c;Nginx 处于应用程序体系结构的关键时刻&＃xff0c;需要始终进行密切监视。 Elastic Stack&＃xff08;Elasticsearch&＃xff0c;Logstash&＃xff0c;Kibana 和 Beats&＃xff09;是世界上最受欢迎的开源日志管理和日志分析平台&＃xff0c;它为工程师提供了一种非常简单有效的方法来监视 Nginx。

在本文中&＃xff0c;我们将提供为 Nginx 日志设置管道并开始监视工作的步骤。

Nginx 为用户提供了各种日志记录选项&＃xff0c;包括日志记录到文件&＃xff0c;条件日志记录和 syslog 日志记录。 Nginx 将生成两种可用于操作监视和故障排除的日志类型&＃xff1a;错误日志和访问日志。 默认情况下&＃xff0c;这两个日志通常都位于 /var/log/nginx 下&＃xff0c;但是此位置可能因系统而异。

liuxg&＃64;liuxg:/var/log/nginx$ ls
access.log error.log

Nginx error logs

错误日志包含可用于对操作问题进行故障诊断的诊断信息。 Nginx error_log 指令可用于指定日志文件的路径和严重性&＃xff0c;并可在主要 http&＃xff0c;邮件&＃xff0c;流&＃xff0c;服务器&＃xff0c;位置上下文&＃xff08;按此顺序&＃xff09;中使用。比如&＃xff0c;我们可以使用如下的指令来指定错误日志的路径及需要记录日志的严重性的级别&＃xff1a;

error_log /path/to/log debug;

上述配置在 Nginx 的配置文件中进行设置。针对我的 Ubuntu Linux 的情况而言&＃xff0c;你可以找到配置文件:

$ pwd
/etc/nginx
liuxg&＃64;liuxgu:/etc/nginx$ ls
conf.d koi-win nginx.conf sites-available win-utf
fastcgi_params mime.types nginx.conf.org sites-enabled
koi-utf modules scgi_params uwsgi_params

在上面的 nginx.conf 配置文件中&＃xff0c;我们可以进行配置这个错误日志的路径及严重性&＃xff1a;

user nginx;
worker_processes 1;error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;events {worker_connections 1024;
}...

日志示例&＃xff1a;

2020/02/26 17:20:33 [error] 7722#7722: *1 connect() failed (111: Connection refused) while connecting to upstream, client: 192.168.43.192, server: _, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:3001/", host: "192.168.43.192"
 

Nginx access logs

访问日志包含有关发送到 Nginx 并由 Nginx 服务的所有请求的信息。 因此&＃xff0c;它们是用于性能监控以及安全性的宝贵资源。 Nginx 访问日志的默认格式是组合格式&＃xff0c;但是在分发之间可能会有所不同。 与错误日志一样&＃xff0c;你可以使用 access_log 指令来设置日志文件路径和日志格式。

日志示例&＃xff1a;

::1 - - [26/Feb/2020:16:46:52 &＃43;0800] "GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.122 Safari/537.36"

将 Nginx 日志传送到 Elastic Stack 的最简单方法是使用 Filebeat。

在 Elastic Stack 的早期版本中&＃xff0c;Logstash 在 Nginx 日志管道中发挥了关键作用-处理日志并进行地理增强。 随着 Filebeat 模块的出现&＃xff0c;无需 Logstash 即可完成此操作&＃xff0c;从而使Nginx 日志记录管道的设置更加简单。

在今天的实验中&＃xff0c;我们将使用如下的配置&＃xff1a;

在上面的配置中&＃xff0c;在我的 MacOS 上运行一个本地的 Elasticsearch 及 Kibana&＃xff0c;而在另外一个虚拟机中安装一个 Ubuntu 18.04 的 Linux 系统。在 Ubuntu 18.04 中&＃xff0c;我们运行如下的软件&＃xff1a;

• Nginx&＃xff1a;开源高性能的 HTTP 和反向代理 web 服务器
• Nodejs&＃xff1a;运行一个本地的 web 服务器
• Filebeat&＃xff1a;用于把 Nginx 的日志导入到 Elasticsearch 中

为了能够完成我们的设置&＃xff0c;我们做如下的安装&＃xff1a;

安装 Elasticseach

如果大家还没安装好自己的 Elastic Stack 的话&＃xff0c;那么请按照我之前的教程 “如何在 Linux&＃xff0c;MacOS 及 Windows 上进行安装 Elasticsearch” 安装好自己的 Elasticsearch。由于我们的 Elastic Stack 需要被另外一个 Ubuntu VM 来访问&＃xff0c;我们需要对我们的 Elasticsearch 进行配置。首先使用一个编辑器打开在 config 目录下的 elasticsearch.yml 配置文件。我们需要修改 network.host 的 IP 地址。在你的 Mac 及 Linux 机器上&＃xff0c;我们可以使用:

$ ifconfig

来查看到我们的机器的 IP 地址。针对我的情况&＃xff0c;我的 MacOS 机器的 IP 地址是&＃xff1a;192.168.43.220。

在上面我们把 network.host 设置为 "_site_"&＃xff0c;表明它绑定到我们的本地电脑的IP地址。详细说明请参阅 Elasticsearch 的 network.host 说明。

我们也必须在 elasticsearch.yml 的最后加上 discovery.type: single-node&＃xff0c;表明我们是单个 node。

等修改完我们的 IP 地址后&＃xff0c;我们保存 elasticsearch.yml 文件。然后重新运行我们的 elasticsearch。我们可以在一个浏览器中输入刚才输入的 IP 地址并加上端口号 9200。这样可以查看一下我们的 elasticsearch 是否已经正常运行了。

安装 Kibana

我们可以按照 “如何在 Linux&＃xff0c;MacOS 及 Windows上安装 Elastic 栈中的 Kibana” 中介绍的那样来安装我们的 Kibana。由于我们的 Elasticsearch 的 IP 地址已经改变&＃xff0c;所以我们必须修改我们的 Kibana 的配置文件。我们使用自己喜欢的编辑器打开在 config 目录下的 kibana.yml 文件&＃xff0c;并找到 server.host。把它的值修改为自己的电脑的 IP 地址。针对我的情况是&＃xff1a;

同时找到 elasticsearch.hosts&＃xff0c;并把自己的 IP 地址输入进去&＃xff1a;

保存我们的 kibana.yml 文件&＃xff0c;并运行我们的 Kibana。同时在浏览器的地址中输入自己的 IP 地址及 5601 端口&＃xff1a;

如果配置成功的话&＃xff0c;我们就可以看到上面的画面。

安装 Nodejs

我们在 Ubuntu OS 上安装如下的指令来安装我们的 nodes&＃xff1a;

sudo apt update
sudo apt install nodejs

如果仓库中的软件包适合你的需求&＃xff0c;那么这就是设置 Node.js 所需要做的全部工作。 在大多数情况下&＃xff0c;你还需要安装 Node.js 程序包管理器 npm。 你可以通过键入以下内容来执行此操作&＃xff1a;

sudo apt install npm

这将允许你安装要与 Node.js 一起使用的模块和软件包。

我们可以通过如下的命令来检查我们的 nodejs 的版本&＃xff1a;

nodejs -v

接下来&＃xff0c;我们安装并运行一个我们自己的 nodejs 的 web 服务器。我们先下载我的一个简单的 nodejs 代码&＃xff1a;

git clone https://github.com/liu-xiao-guo/samplenodejs

等我们把代码下载下来后&＃xff0c;我们可以在这个项目的根目录中运行如下的命令&＃xff1a;

npm install

我们的 nodejs 是一个简单的基于 express 框架的 web 服务器。上面的命令可以帮我们安装我们所需要的所有的 nodejs 的模块。接下来&＃xff0c;我们使用如下的命令来启动我们的 web 服务器。它运行于端口3000上&＃xff1a;

npm start

这事我们可以在我们的 Ubuntu OS 系统的浏览器中&＃xff0c;可以打入如下的地址&＃xff1a;localhost:3000/hello

在还没有启动你的firewall的情况下&＃xff0c;你也可以在你的host机器上打开这个网页&＃xff1a;

如果你能看到上面的两个输出&＃xff0c;表明你的 nodejs 的应用已经被成功运行。

安装 Nginx

Nginx 在 Ubuntu 的默认存储库中可用&＃xff0c;因此安装非常简单。

由于这是我们在此会话中与 apt 打包系统的第一次交互&＃xff0c;因此我们将更新本地包索引&＃xff0c;以便我们可以访问最新的包清单。 之后&＃xff0c;我们可以安装 nginx&＃xff1a;

sudo apt-get update
sudo apt-get install nginx

一旦 nginx 被成功安装&＃xff0c;我们可以通过如下的命令来查看 nginx 服务是否已经被成功启动&＃xff1a;

systemctl status nginx

$ systemctl status nginx
● nginx.service - A high performance web server and a reverse proxy serverLoaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)Active: active (running) since Wed 2020-02-26 17:21:21 CST; 17h agoDocs: man:nginx(8)Process: 7740 ExecStop&＃61;/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginxProcess: 7743 ExecStart&＃61;/usr/sbin/nginx -g daemon on; master_process on; (code&＃61;exited, status&＃61;0/SProcess: 7742 ExecStartPre&＃61;/usr/sbin/nginx -t -q -g daemon on; master_process on; (code&＃61;exited, sMain PID: 7744 (nginx)Tasks: 7 (limit: 4915)CGroup: /system.slice/nginx.service├─7744 nginx: master process /usr/sbin/nginx -g daemon on; master_process on;├─7745 nginx: worker process├─7746 nginx: worker process├─7747 nginx: worker process├─7748 nginx: worker process├─7749 nginx: worker process└─7750 nginx: worker process2月 26 17:21:21 liuxg systemd[1]: Starting A high performance web server and a reverse proxy server
2月 26 17:21:21 liuxg systemd[1]: Started A high performance web server and a reverse proxy server

如果我们想停止 nginx&＃xff0c;我们可以使用如下的命令&＃xff1a;

sudo systemctl stop nginx

要在停止时启动 Web 服务器&＃xff0c;请键入&＃xff1a;

sudo systemctl start nginx

要停止然后再次启动该服务&＃xff0c;请键入&＃xff1a;

sudo systemctl restart nginx

调整 firewall

在测试 Nginx 之前&＃xff0c;我们需要重新配置防火墙软件以允许访问该服务。 Nginx 在安装后将自己注册为 ufw&＃xff08;我们的防火墙&＃xff09;的服务。 这使得允许 Nginx 访问相当容易。

我们可以通过键入以下内容列出 ufw 知道如何使用的应用程序配置&＃xff1a;

sudo ufw app list

你应该获得应用程序配置文件的列表&＃xff1a;

Available applications:CUPSNginx FullNginx HTTPNginx HTTPSOpenSSH

如你所见&＃xff0c;Nginx 提供了三个配置文件&＃xff1a;

• Nginx Full&＃xff1a;此配置文件同时打开端口80&＃xff08;正常&＃xff0c;未加密的网络流量&＃xff09;和端口443&＃xff08;TLS / SSL加密的流量&＃xff09;
• Nginx HTTP&＃xff1a;此配置文件仅打开端口80&＃xff08;正常&＃xff0c;未加密的网络流量&＃xff09;
• Nginx HTTPS&＃xff1a;此配置文件仅打开端口443&＃xff08;TLS / SSL加密流量&＃xff09;

建议你启用限制性最强的配置文件&＃xff0c;该配置文件仍将允许你配置的流量。 由于我们尚未为服务器配置 SSL&＃xff0c;因此在本指南中&＃xff0c;我们只需要允许端口80上的流量通过。

你可以通过键入以下内容启用此功能&＃xff1a;

sudo ufw allow &＃39;Nginx HTTP&＃39;

你可以通过键入以下内容来验证更改&＃xff1a;

sudo ufw status

$ sudo ufw status
Status: inactive

如果上面的命令返回 inactive&＃xff0c;则表明我们的防火墙没有被打开。在这种情况下在我们的 host MacOS 机器上的浏览器打开地址 http://192.168.43.192:3000/ 可以看到输出。如果我们想让我们的 firewall 能正常工作&＃xff0c;我们可以打入如下的命令&＃xff1a;

sudo ufw enable

$ sudo ufw enable
Firewall is active and enabled on system startup


由于防火墙已经起作用了。这个时候我们在 MacOS 的浏览器中再次打开地址 http://192.168.43.192:3000/ 将不会看到任何的内容。这是因为我们的 nginx 只打开了80这个口。

如果我们想取消防火墙&＃xff0c;我们可以打入如下的命令来取消防火墙&＃xff1a;

sudo ufw disable

$ sudo ufw disable
Firewall stopped and disabled on system startup

将 Nginx 设置为反向代理服务器

在上面&＃xff0c;我们已经看到&＃xff0c;当我们把 firewall 打开后&＃xff0c;我们的那个 http://192.168.43.192:3000/ 地址不能在外面被访问。

现在你的应用程序正在运行&＃xff0c;并且正在 localhost 上侦听&＃xff0c;你需要为用户提供一种访问它的方式。 为此&＃xff0c;我们将 Nginx Web 服务器设置为反向代理。我们在 /etc/nginx /sites-available /default 文件中设置 Nginx 配置。 打开文件进行编辑&＃xff1a;

sudo vi /etc/nginx/sites-available/default

在server块内&＃xff0c;你应该有一个现有的 location/block。 用以下配置替换该块的内容。 如果你的应用程序设置为在其他端口上侦听&＃xff0c;则将突出显示的部分更新为正确的端口号。

/etc/nginx/sites-available/default

. . .location / {proxy_pass http://localhost:3000;proxy_http_version 1.1;proxy_set_header Upgrade $http_upgrade;proxy_set_header Connection &＃39;upgrade&＃39;;proxy_set_header Host $host;proxy_cache_bypass $http_upgrade;}
...

在上面&＃xff0c;我们把端口地址3000放入设置中。你可以根据自己的服务器的端口进行配置。 假设我们的服务器在 example.com 上可用&＃xff0c;则通过 Web 浏览器访问 https://example.com/会将请求发送到本地主机的3000端口。

当我们修改完上面的配置后&＃xff0c;输入以下内容&＃xff0c;确保没有引入任何语法错误&＃xff1a;

sudo nginx -t

接下来&＃xff0c;重新启动 Nginx&＃xff1a;

sudo systemctl restart nginx

在我们配置后&＃xff0c;我们可以重新在我们的 host MacOS 上输入地址&＃xff1a;

这次我们可以看见即使在 firewall 运行的情况下&＃xff0c;外面的请求也可以访问到运行于 localhost:3000 口的 web 服务器。

安装 Filebeat

在 Ubuntu 上安装 Filebeat 也是非常直接的。我们可以先打开我们的 Kibana。

我们点击 “Add log data” 按钮&＃xff1a;

在上面我们点击 “Nginx logs”&＃xff1a;

由于 Ubuntu 系统是 Debian 系统&＃xff0c;所有我们选择 DEB。我们按照上面的指令来完成我们的安装。

简单地说&＃xff1a;

下载 Filebeat 并安装

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.5.0-amd64.deb
sudo dpkg -i filebeat-7.5.0-amd64.deb

配值 Filebeat

修改 /etc/filebeat/filebeat.yml 以设置连接信息&＃xff1a;

output.elasticsearch:hosts: [""]username: "elastic"password: ""
setup.kibana:host: ""

其中 是 Elastic 用户的密码&＃xff0c; 是 Elasticsearch 的 URL&＃xff0c; 是 Kibana 的 URL。针对我的情况&＃xff1a;

启动并配置 nginx 模块

sudo filebeat modules enable nginx

根据自己的需求&＃xff0c;我们可以适当修改 /etc/filebeat/modules.d/nginx.yml 文件里的配置。针对我们的练习&＃xff0c;我们可以不做任何的修改。

启动 Filebeat

setup 命令将加载 Kibana 仪表板。 如果已经设置了仪表板&＃xff0c;请忽略此命令。

sudo filebeat setup

上面的命令的输出为&＃xff1a;

Index setup finished.
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards
Loaded machine learning job configurations
Loaded Ingest pipelines

我们启动 Filebeat&＃xff1a;

sudo service filebeat start

检查 Nginx 数据

至此我们的安装都已经完成。

我们打开 Kibana:

我们点击 “[Filebeat Nginx] Overview ECS”&＃xff1a;

至此&＃xff0c;我们完成了对 Nginx 日志的监控。在上面我们可以看到 Nginx 的所有的信息。

参考&＃xff1a;

【1】https://www.digitalocean.com/community/tutorials/how-to-install-node-js-on-ubuntu-18-04

【2】https://www.digitalocean.com/community/tutorials/how-to-install-nginx-on-ubuntu-16-04

【3】https://www.digitalocean.com/community/tutorials/how-to-install-nginx-on-ubuntu-16-04

【4】https://www.digitalocean.com/community/tutorials/how-to-set-up-a-node-js-application-for-production-on-ubuntu-16-04