​OpenObserve + Logstash + Filebeat 轻量化监控Nginx

于 2025-07-06 16:17:59 发布
阅读量448 收藏 7
点赞数 3
CC 4.0 BY-SA版权
文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qyq88888/article/details/149153206

📦 整体架构

Nginx -->|JSON 日志| Filebeat -->|5044 端口| Logstash
Logstash -->|HTTP 输出| OpenObserve

🛠️ 部署步骤

1. ​创建目录结构
mkdir -p ob-stack/{filebeat,logstash/pipeline,nginx/conf}
cd ob-stack
2. ​**编写 docker-compose.yml**​
version: '3.8'
services:
  # OpenObserve 服务(对接对象存储)
  openobserve:
    image: public.ecr.aws/zinclabs/openobserve:latest
    ports:
      - "5080:5080"
    environment:
      ZO_ROOT_USER_EMAIL: "admin@example.com"
      ZO_ROOT_USER_PASSWORD: "Complexpass#123"
    networks:
      - obs-net

  # Logstash 服务
  logstash:
    image: docker.elastic.co/logstash/logstash:8.13.4
    ports:
      - "5044:5044"
    volumes:
      - ./logstash/pipeline:/usr/share/logstash/pipeline
    environment:
      LS_JAVA_OPTS: "-Xmx2g -Xms2g"
    networks:
      - obs-net

  # Filebeat 服务
  filebeat:
    image: docker.elastic.co/beats/filebeat:8.13.4
    volumes:
      - ./filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml
      - ./nginx/logs:/var/log/nginx
    networks:
      - obs-net
    depends_on:
      - nginx
      - logstash

  # Nginx 服务(日志源)
  nginx:
    image: nginx:latest
    ports:
      - "80:80"
    volumes:
      - ./nginx/logs:/var/log/nginx
      - ./nginx/conf/log-json.conf:/etc/nginx/conf.d/log-json.conf
    networks:
      - obs-net

networks:
  obs-net:
    driver: bridge

⚙️ 关键配置详解

1. Nginx JSON 日志配置

nginx/conf/log-json.conf

log_format json_combined escape=json
  '{'
    '"timestamp":"$time_iso8601",'
    '"client_ip":"$remote_addr",'
    '"method":"$request_method",'
    '"path":"$uri",'
    '"status":$status,'
    '"response_size":$body_bytes_sent,'
    '"user_agent":"$http_user_agent"'
  '}';

access_log /var/log/nginx/access.log json_combined;
2. Filebeat 配置

filebeat/filebeat.yml

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/nginx/access.log
  json.keys_under_root: true  # 直接解析 JSON 字段[6,8](@ref)
  json.overwrite_keys: true

output.logstash:
  hosts: ["logstash:5044"]  # 发送到 Logstash 容器
3. Logstash 管道配置

logstash/pipeline/logstash.conf

input {
  beats { port => 5044 }
}

filter {
  # 时间戳标准化(对齐 OpenObserve)
  date {
    match => ["timestamp", "ISO8601"]
    target => "@timestamp"
  }
  # 删除冗余字段
  mutate {
    remove_field => ["log", "input", "ecs"]
  }
}

output {
  http {
    url => "http://8.154.24.125:5080/api/default/default/_json"
    http_method => "post"
    format => "json_batch"
    headers => {
      "Authorization" => "Basic YWRtaW5AZXhhbXBsZS5jb206Q29tcGxleHBhc3MjMTIz"
      "Content-Type" => "application/json"
    }
  }
}

💾 性能对比​:列式存储 + 压缩技术使 OpenObserve 存储成本比 ES ​降低 140倍,查询速度快 3-5 倍4

✅ ​启动与验证

# 生成 Base64 凭证(用于 Logstash 认证)
echo -n "admin@example.com:Complexpass#123" | base64 > .env
export BASE64_CREDS=$(cat .env)

# 启动所有服务
docker-compose up -d

# 生成测试日志
curl http://localhost

# 登录 OpenObserve 查询
浏览器访问 http://localhost:5080 → 输入账号密码 → 执行查询:
SELECT * FROM "default" WHERE status = 200

通过此方案,您已构建了一个存储成本极低、查询高效、支持 PB 级日志的云原生观测平台,替代传统 ELK 方案可节省 90% 以上成本4

使用filebeat+logstash收集Nginx应用日志
江晓龙的博客
07-19 1314
可以看到Nginx产生的日志是有很多字段内容的,比如客户端IP、请求的URL、请求的状态码、使用的浏览器类型等等,针对这些内容是很有必要解析出单个字段的,便于我们在kibana中进行查询。采用Nginx自己的JSON格式的日志格式去收集日志数据,在logstash中使用json插件进行解析。我们使用logstash的grok插件,通过正则的方式将每一个部分的内容解析成字段格式。左侧添加上中文的字段名,查询具体的日志内容。产生Nginx日志,多访问几次Nginx。左侧添加上要查询的字段,进行数据查询。...
ELK安装(Elasticsearch+Logstash+Kibana+Filebeat)
snail_youth的博客
07-26 1420
ELK其实是Elasticsearch,Logstash 和 Kibana三个产品的首字母缩写,这三款都是开源产品。Elasticsearch 是一个分布式、高扩展、高实时的搜索与数据分析引擎。它能很方便的使大量数据具有搜索、分析和探索的能力。充分利用Elasticsearch的水平伸缩性,能使数据在生产环境变得更有价值。
openobserve-filebeat配置
henreash的专栏
04-21 1195
上图第一、第三个红框是从openobserver采集-自定义-filebeat中拷贝过来的内容;第二个红框为日志文件所在目录,红框上方的encoding指定日志文件编码方式,否则openserver采集到的日志可能乱码;filebeat启动:打开powershell,输入./filebeat.exe -e -c filebeat.yml。如要启动多个采集实例,需拷贝filebeat目录,修改配置后在启动,否则提示目录被锁定。openobserver内无需配置,推送后会自动创建对应的组织和数据流。
OpenObserve云原生可观测平台本地Docker部署与远程访问实战教程
热门推荐
私聊前往站内信:https://i.csdn.net/#/msg/chat/weixin_44976692
09-05 2万+
本文主要介绍如何在Linux系统使用Docker快速本地化部署OpenObserve云原生可观测平台,并结合cpolar内网穿透工具轻松实现远程访问本地搭建的平台界面管理和可视化各种可观察数据。OpenObserve是一个基于 Rust 的云原生可观察性平台,可以处理 PB 级的数据,是一款用于日志、指标、分析和追踪,真实用户监控(RUM)的可观测工具,与需要理解和调整大量设置的Elasticsearch相比,它简单明了,易于操作。而且日志存储成本降低约 140 倍,几分钟就能快速部署并运行观察。
【实战篇】从零搭建OpenObserve云原生平台:实现企业级可观测性
最新发布
私聊前往站内信:https://i.csdn.net/#/msg/chat/weixin_44976692
07-03 1137
摘要:本文介绍云原生观测平台OpenObserve的Docker部署方法及远程访问方案。首先通过Docker命令快速部署容器并提供Web UI访问,展示其日志分析、可视化仪表板、前端监控和警报等核心功能。针对远程访问需求,使用cpolar内网穿透工具生成临时公网地址,并详细说明如何配置固定二级子域名实现永久访问。OpenObserve作为新一代智能运维平台,能高效处理PB级数据,提供亚秒级故障响应,显著提升运维效率。
.net core-利用OpenObserve 实现OpenTelemetry可观测性标准(Logs,Traces,Metrics)
weixin_40234145的博客
05-01 32
OpenObserve 是一个开源的可观测性平台(支持日志、指标、追踪),旨在成为 Elasticsearch/Datadog 的轻量级替代方案。它支持通过 OpenTelemetry(OTLP)协议接收数据。
【亲测免费】 开源项目 `openobserve`: 高效且低成本的日志、度量和追踪管理平台
gitblog_00181的博客
08-07 1878
开源项目 openobserve: 高效且低成本的日志、度量和追踪管理平台 1. 项目介绍 openobserve 是一个高性能的观测数据管道,旨在替代Elasticsearch、Splunk和Datadog等传统工具,提供日志、指标、追踪、实时用户体验监控(RUM)、错误跟踪及会话回放等功能。它的特点包括显著的存储成本节省(大约140倍),高速性能,以及能够处理PB级别的数据。该项目是用Rust...
探索新一代的云原生可观测性平台OpenObserve
gitblog_00042的博客
05-11 689
探索新一代的云原生可观测性平台OpenObserve 在这个日新月异的技术领域中,高效、经济且易于管理的数据观察平台至关重要。开放源代码的【OpenObserve】正是为了满足这一需求而生,它是一款专为日志、度量、追踪、分析和真实用户体验监控(RUM)设计的云原生可观测性平台,旨在处理PB级别的海量数据。 项目介绍 OpenObserve是Elasticsearch、Splunk和Datadog...
OpenObserve:云原生观测平台的新星
gitblog_00674的博客
08-13 479
OpenObserve:云原生观测平台的新星 项目介绍 OpenObserve(简称O2)是一款专为日志、指标、追踪和分析(包括真实用户监控RUM)设计的云原生观测平台,旨在处理PB级数据。作为Elasticsearch、Splunk和Datadog的替代品,OpenObserve以其简化的操作流程、低成本的存储和高性能而脱颖而出。 项目技术分析 OpenObserve的核心优势在于其技术的先进性...
打造高效日志分析链:从Filebeat采集到Kibana可视化——Redis+Logstash+Elasticsearch全链路解决方案
xyyy060908的博客
07-30 3652
团团儿------一名专注于云计算领域的专业创作者 构建filebeat+redis+logstash+es+kibana架构,实现elk访问 实验拓扑:es 192.168.8.5 Nginx 192.168.8.6 Logstash192.168.8.7
elasticsearch+logstash+kibana+filebeat.7z (ELK 7.9.0)
04-25
总结起来,"elasticsearch+logstash+kibana+filebeat.7z (ELK 7.9.0)" 压缩包包含了一套完整的日志管理和分析工具链,适用于大数据环境,可以帮助企业实现高效的数据收集、处理、存储和可视化。通过使用这套工具,...
ELKF(Elasticsearch+Logstash+ Kibana+ Filebeat) 部署 Filebeat多台机器
悄悄quite
06-21 573
ELKF 部署结构 1.安装 Elasticsearch 和配置 1.1 . 解压安装包到安装路径下。 比如 /usr/local/elk下 tar -zxvf elasticsearch-6.3.0-linux-x86_64.tar.gz -C /usr/local/elk/ 或者直接解压 tar -zxvf elasticsearch-6.3.0-linux-x86_64.tar.gz 1.2 修改配置文件 vi /usr/local/elk/elasticsearch-6.3.0/conf
OpenObserve:云原生可观测性平台的新星
gitblog_00872的博客
08-07 677
OpenObserve:云原生可观测性平台的新星 项目介绍 OpenObserve(简称O2)是一款专为日志、指标、追踪和分析设计的云原生可观测性平台,旨在处理PB级数据。作为Elasticsearch、Splunk和Datadog的替代品,OpenObserve以其简化的操作流程、低成本的存储解决方案和高性能著称,为用户提供了10倍的操作便捷性、140倍的存储成本降低以及PB级的数据处理能力。 ...
一招搞定云原生数据管理:OpenObserve让你随时随地掌控数据
LT15171009269的博客
01-01 1185
今天咱们要聊一个超级实用的工具——OpenObserve。如果你在云原生环境中工作,经常需要处理海量的数据,并且希望有一个高效、低成本的解决方案来管理这些数据,那么你绝对不能错过这个神器!
再见 ElasticSearch,是时候拥抱下一代开源云原生可观测平台 OpenObserve
easylife206的专栏
08-27 1110
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !OpenObserve(简称 O2)是一个用 Rust 开发的开源云原生可观测平台,专为日志、指标、追踪而构建,设计用于 PB 级工作。与需要理解和调整大量配置置的 Elasticsearch 相比,它简单且易于操作。在 2 分钟内即可启动并运行 OpenObserve。对于使用 API 获取数据并执行搜索的用户来说...
基于Docker的OpenObserve快速搭建实现全链路可观测性远程管理
VLOKL的博客
03-24 593
嘿,各位小伙伴们,今天要给大家揭秘一个在云原生领域里横扫千军的秘密法宝——OpenObserve。想象一下,当你正忙着处理服务故障时,传统工具慢得让你怀疑人生,而高昂的成本又让老板肉痛不已。突然间,如果有个神器能让你瞬间变成数据达人,不仅速度快如闪电侠,还能轻松应对PB级的数据量,是不是觉得特别酷炫?没错,这个法宝就是OpenObserve
Docker部署Openobserve
Gene Z.的博客
02-21 193
等待镜像拉取完成后会自动在前台运行,这是即可访问。查看openobserve容器ID,再使用。即可运行openobserve服务。访问,可正常访问后,
可观测性革命 - 揭秘OpenObserve开源高性能云原生平台
wwsafe的博客
06-05 3125
是一个开源的云原生可观测性平台,与 Elasticsearch 相比,存储成本降低了约 140 倍(实际结果可能因测试数据而有所不同),测试用例包括真实的日志数据,其显著降低运营成本,并提高了易用性。它可以扩展到PB级别的数据量,具有很高的性能,您晚上可以睡得更好。)这也限制了您实际可以存储的数据的持续时间,因为存储数据的成本可能超过它提供的感知价值。c. 我们还使用内存缓存,在其中将压缩数据存储在内存中,可以在不到35 GB的RAM中存储1 TB的数据(约30倍压缩比,尽管实际日志可获得更高的压缩比)。
基于 OpenObserve 的轻量级分布式日志存储和追踪方案
小毕超博客
05-31 826
OpenObserve 是一个基于 Rust 开发的开源云原生可观察性平台,专为处理海量数据(如日志、指标和追踪数据)而设计,具有高性能、低成本和易用性等特点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

七七powerful

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值