配合 ELK 做访问分析

本文来自码农资讯网，深入讲解如何结合 ELK（Elasticsearch、Logstash、Kibana） 技术栈，实现对 Nginx 访问日志的高效收集、存储和分析。通过 ELK，可以直观监控网站访问情况、用户行为及异常请求，提升运维和安全响应能力。

一、什么是 ELK？

ELK 是一套开源日志管理和分析解决方案，由三部分组成：

• Elasticsearch：分布式搜索和分析引擎，存储日志数据。

• Logstash：日志收集和转换工具，负责从日志源收集数据并传输至 Elasticsearch。

• Kibana：数据可视化平台，用于创建图表和仪表盘展示日志数据。

二、为什么使用 ELK 做访问分析？

• 实时监控访问流量和趋势。

• 追踪异常访问和错误日志。

• 进行流量分布、用户行为分析。

• 辅助安全事件检测与排查。

• 支持多维度日志查询，提升运维效率。

三、Nginx 日志采集准备

• 确认 Nginx 已启用访问日志，通常配置在 nginx.conf：

access_log /var/log/nginx/access.log main;

• 自定义日志格式，方便 Logstash 解析：

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                '$status $body_bytes_sent "$http_referer" '
                '"$http_user_agent" "$http_x_forwarded_for"';

四、Logstash 配置示例

创建 logstash.conf 配置文件，定义输入、过滤和输出：

input {
  file {
    path => "/var/log/nginx/access.log"
    start_position => "beginning"
    sincedb_path => "/dev/null"
  }
}

filter {
  grok {
    match => { "message" => "%{COMBINEDAPACHELOG}" }
  }
  date {
    match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]
  }
}

output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "nginx-access-%{+YYYY.MM.dd}"
  }
  stdout { codec => rubydebug }
}

五、Elasticsearch 及 Kibana 配置

• 安装并启动 Elasticsearch 和 Kibana。

• 在 Kibana 中创建索引模式（Index Pattern），如 nginx-access-*。

• 利用 Kibana 仪表盘监控访问数据，可视化展示访问量、状态码分布、请求路径热度等。

六、实践建议

• 定期清理过期日志，防止 Elasticsearch 索引膨胀。

• 结合 Beats（如 Filebeat）简化日志采集配置。

• 监控 ELK 集群性能，保证数据采集稳定。

• 利用 Kibana 报警功能，及时发现异常访问。

七、总结

通过 ELK 技术栈与 Nginx 访问日志结合，能够为运维人员提供强大的访问分析能力。无论是流量监控、用户行为追踪还是安全事件排查，ELK 都是不可多得的利器。
更多运维与 Nginx 高级技巧，请关注 码农资讯网（www.codesou.cn）。