ELK日志收集分析平台(Elasticsearch+Logstash+Kibana)使用说明

 

使用ELK对返回502的报警进行日志的收集汇总

eg：Server用户访问网站返回502

首先在zabbix上找到Server的IP

然后登录到elk上使用如下搜索条件：

pool_select:X.X.X.X AND status:502 AND verb:GET

返回如下的界面：

 

Time：返回502发生的时间

Domainname：返回502发生错误的域名

geoip.ip：用户访问的ip地址

Request：用户请求链接

pool_select：服务器的IP

user_agent：访问域名使用的平台&系统

Verb：Http方法—Get和Post请求，向服务器发索取/提交数据的请求

Message：上诉所有信息的源信息。

注意：返回502需要及时反馈信息，否则需要调整时间轴来可以获取到信息

Server/X/X属于静态请求的，不经过负载均衡设备，无法通过ELK去查找。

如果需要查询  www.xxx.com/account/XX/ABC.htm  报500的记录，可以如下查询：

status:500 AND domainname:"XXX.com" AND request:"account/XX/ABC.htm"

ELK的帮助手册

ELK官网：https://www.elastic.co/

ELK官网文档：https://www.elastic.co/guide/index.html

ELK中文手册：http://kibana.logstash.es/content/elasticsearch/monitor/logging.html