ELK是由開(kāi)源軟件Elasticsearch、Logstash和Kibana組成的一套完整的日志分析解決方案。它可以在分布式環(huán)境中收集、存儲(chǔ)、分析和可視化來(lái)自不同來(lái)源的大量數(shù)據(jù)。其中，Logstash是數(shù)據(jù)收集和處理的工具，而Elasticsearch和Kibana則分別是搜索和可視化工具。

Nginx是一款高性能的Web服務(wù)器，常用于反向代理、負(fù)載均衡和靜態(tài)資源服務(wù)器等。對(duì)于使用Nginx作為Web服務(wù)器的應(yīng)用來(lái)說(shuō)，日志文件非常重要。Nginx可以將日志輸出到文件，也可以通過(guò)HTTP協(xié)議將日志發(fā)送到遠(yuǎn)程syslog服務(wù)器。不過(guò)，Nginx默認(rèn)的日志格式是text格式，不夠結(jié)構(gòu)化，不方便后續(xù)的數(shù)據(jù)分析和可視化。

為了更好地處理Nginx日志，可以使用一種結(jié)構(gòu)化的格式，如JSON。在Nginx的配置文件中，可以使用ngx_http_log_module模塊定義一個(gè)JSON格式的日志格式：

http {
log_format json '{ "@timestamp": "$time_iso8601", '
'"remote_addr": "$remote_addr", '
'"remote_user": "$remote_user", '
'"request": "$request", '
'"status": $status, '
'"body_bytes_sent": $body_bytes_sent, '
'"http_referer": "$http_referer", '
'"http_user_agent": "$http_user_agent" }';
access_log /var/log/nginx/access.json json;
}

在以上配置中，我們使用了$log_format指令來(lái)定義一個(gè)名為json的日志格式。該格式包含了一些我們希望統(tǒng)計(jì)和分析的字段，如時(shí)間戳、客戶端IP、請(qǐng)求方法和URL、HTTP狀態(tài)碼等。同時(shí)，我們還指定了一個(gè)訪問(wèn)日志文件/var/log/nginx/access.json，并將日志格式設(shè)置為json格式。

接下來(lái)，我們可以使用Logstash將Nginx的JSON日志文件讀取到Elasticsearch中：

input {
file {
path =>"/var/log/nginx/access.json"
codec =>"json"
}
}
output {
elasticsearch {
hosts =>["https://localhost:9200"]
index =>"nginx_access-%{+YYYY.MM.dd}"
}
}

在以上配置中，我們使用了Logstash的file輸入插件來(lái)讀取/var/log/nginx/access.json文件。由于該文件是JSON格式，我們需要使用codec指定為"json"，這樣Logstash會(huì)將讀取到的數(shù)據(jù)進(jìn)行JSON解析。

最后，我們將數(shù)據(jù)輸出到Elasticsearch中，以便進(jìn)行搜索和可視化。我們指定了Elasticsearch的地址（hosts）和數(shù)據(jù)索引（index），這樣Logstash會(huì)將讀取到的數(shù)據(jù)插入到相應(yīng)的索引中，方便后續(xù)的查詢和分析。