logstash收集syslog日志
注意:生产用syslog收集日志!!!

编写logstash配置文件

#首先我用rubydebug测试数据

[root@elk-node1 conf.d]# cat syslog.conf

input{

    syslog{

    type => "system-syslog"

    host => "192.168.247.135"

    port => "514"

}

}

output{

    stdout{

    codec => "rubydebug"

}

#检查语法

[root@elk-node1 conf.d]# /opt/logstash/bin/logstash -f /etc/logstash/conf.d/syslog.conf --configtest

Configuration OK

You have new mail in /var/spool/mail/root

[root@elk-node1 ~]# ss -lntp|grep 514

LISTEN     0      50      ::ffff:192.168.247.135:514                     :::*                   users:(("java",pid=9605,fd=14))

#修改rsyslog配置文件让其能访问

[root@elk-node1 ~]# vim /etc/rsyslog.conf

*.* @@192.168.247.135:514

[root@elk-node1 ~]# systemctl restart rsyslog

[root@elk-node1 ~]#

#运行测试

[root@elk-node1 conf.d]# /opt/logstash/bin/logstash -f /etc/logstash/conf.d/syslog.conf

Settings: Default filter workers: 1

Logstash startup completed

{

           "message" => "Registered Authentication Agent for unix-process:9680:2638370 (system bus name :1.490 [/usr/bin/pkttyagent --notify-fd 5 --fallback], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale en_US.UTF-8)\n",

          "@version" => "1",

        "@timestamp" => "2018-07-15T10:08:58.000Z",

              "type" => "system-syslog",

              "host" => "192.168.247.135",

          "priority" => 85,

         "timestamp" => "Jul 15 18:08:58",

         "logsource" => "elk-node1",

           "program" => "polkitd",

               "pid" => "686",

          "severity" => 5,

          "facility" => 10,

    "facility_label" => "security/authorization",

    "severity_label" => "Notice"

}

#添加到elk-log.yml文件

[root@elk-node1 conf.d]# cat elk_log.conf

input {

    file {

      path => "/var/log/messages"

      type => "system"

      start_position => "beginning"

    }

    file {

       path => "/var/log/elasticsearch/hejianlai.log"

       type => "es-error"

       start_position => "beginning"

      codec => multiline {

          pattern => "^\["

          negate => true

          what => "previous"

        }

    }

       file {

       path => "/var/log/nginx/access_json.log"

       codec => json

       start_position => "beginning"

       type => "nginx-log"

    }

    syslog{

    type => "system-syslog"

    host => "192.168.247.135"

    port => "514"

}

}

output {

    if [type] == "system"{

        elasticsearch {

           hosts => ["192.168.247.135:9200"]

           index => "systemlog-%{+YYYY.MM.dd}"

        }

    }

    if [type] == "es-error"{

        elasticsearch {

           hosts => ["192.168.247.135:9200"]

           index => "es-error-%{+YYYY.MM.dd}"

        }

    }

       if [type] == "nginx-log"{

        elasticsearch {

           hosts => ["192.168.247.135:9200"]

           index => "nginx-log-%{+YYYY.MM.dd}"

        }

    }

       if [type] == "system-syslog"{

        elasticsearch {

           hosts => ["192.168.247.135:9200"]

           index => "system-syslog-log-%{+YYYY.MM.dd}"

        }

    }

}

#检查语法

[root@elk-node1 conf.d]# /opt/logstash/bin/logstash -f /etc/logstash/conf.d/elk_log.conf --configtestConfiguration OK

#后台运行

[root@elk-node1 conf.d]# ps aux|grep elk|awk '{print $2}'|xargs kill -9

kill: sending signal to 9780 failed: No such process

You have new mail in /var/spool/mail/root

[root@elk-node1 conf.d]# ps aux|grep elk|awk '{print $2}'

9785

[1]+  Killed                  /opt/logstash/bin/logstash -f /etc/logstash/conf.d/elk_log.conf  (wd: ~)

(wd now: /etc/logstash/conf.d)

[root@elk-node1 conf.d]# ps aux|grep elk

root       9788  0.0  0.0 112704   972 pts/0    R+   18:18   0:00 grep --color=auto elk

[root@elk-node1 conf.d]# /opt/logstash/bin/logstash -f /etc/logstash/conf.d/elk_log.conf &

[1] 9789

#手动添加日志

[root@elk-node1 conf.d]# logger "you hao"

[root@elk-node1 conf.d]# logger "hello world"

[root@elk-node1 conf.d]# logger "跟我一起学猫叫,一起喵喵喵"

Kibana设置

看hand插件上我们能看到system-syslog索引

Kibana上添加system-syslog索引

完美

logstash收集syslog日志的更多相关文章

  1. logstash收集springboot日志

    logstash收集springboot日志 maven依赖 <dependency> <groupId>net.logstash.logback</groupId> ...

  2. logstash收集的日志输出到elasticsearch中

    logstash收集的日志输出到elasticsearch中 一.需求 二.实现步骤 1.编写pipeline文件 1.`elasticsearch`配置参数解析: 2.可能会报的一个异常 2.准备测 ...

  3. logstash收集rsyslog日志

    (1)rsyslog配置 在192.168.1.31配置 #vim /etc/rsyslog.conf *.* @@192.168.1.32:514 //所有设备名,所有日志级别都发送到192.168 ...

  4. logstash收集java日志,多行合并成一行

    使用codec的multiline插件实现多行匹配,这是一个可以将多行进行合并的插件,而且可以使用what指定将匹配到的行与前面的行合并还是和后面的行合并. 1.java日志收集测试 input { ...

  5. 构建Logstash+tomcat镜像(让logstash收集tomcat日志)

    1.首先pull logstash镜像作为父镜像(logstash的Dockerfile在最下面): 2.构建my-logstash镜像,使其在docker镜像实例化时,可以使用自定义的logstas ...

  6. Logstash收集nginx日志之使用grok过滤插件解析日志

    grok作为一个logstash的过滤插件,支持根据模式解析文本日志行,拆成字段. nginx日志的配置: log_format main '$remote_addr - $remote_user [ ...

  7. logstash收集Nginx日志,转换为JSON格式

    Nginx日志处理为JSON格式,并放置在http区块: log_format json '{"@timestamp":"$time_iso8601",' '& ...

  8. logstash收集nginx日志

    (1)安装nginx 1.安装nginx yum install epel-release -y yum install nginx -y 2.修改日志文件格式为json #vim /etc/ngin ...

  9. Logstash 收集 IIS 日志

    日志样例 查看 IIS 日志配置,选择格式为 W3C(默认字段设置)保存生效. 2016-02-25 01:27:04 112.74.74.124 GET /goods/list/0/1.html - ...

随机推荐

  1. iOS 关于重定向的那些事(NSURLProcotol-WKWebView)

    重定向定义:重定向(Redirect)就是通过各种方法将各种网络请求重新定个方向转到其它位置(如:网页重定向.域名的重定向.路由选择的变化也是对数据报文经由路径的一种重定向).   NSURLProt ...

  2. Scikit-learn 安装

    Scikit-Learn 3 pip 安装 如果安装了Python,没有安装pip,使用Windows + R,输入cmd,回车打开命令行,输入 python -m pip install -U pi ...

  3. 记录mysql安装过程遇到问题

    1. 远程连接授权 登陆mysql数据库    (如果安装在系统盘可以直接命令, 否则要切换到安装目录..bin/) mysql -u root -p mysql> use mysql;   - ...

  4. SQLServer · 最佳实践 · 透明数据加密TDE在SQLServer的应用

    转:https://yq.aliyun.com/articles/42270 title: SQLServer · 最佳实践 · 透明数据加密TDE在SQLServer的应用 author: 石沫 背 ...

  5. spring实现一个简单的事务管理

    前两天给公司的数据库操作加了事务管理,今天博客就更一下这个吧. 先说明:本文只是简单得实现一下事务,事务的具体内容,比如事务的等级,事务的具体实现原理等等... 菜鸟水平有限,暂时还更不了这个,以后的 ...

  6. Logback简单使用

    1.     添加jar包/maven配置 <dependency> <groupId>ch.qos.logback</groupId> <artifactI ...

  7. Django模板继承和引用

    一.模板继承 1.模板继承可以在创建一个基本“骨架”后,被其它子模板继承并覆盖,通过修改基础模板可以修改子模板中的所有框架 2.在模板teacher文件夹下创建基础模板 {% block xxx}与{ ...

  8. maple推导剑桥模型塑性势函数

    with(DEtools); Parameter(M); de := diff(q(p), p)+(M^*p^-q(p)^)/(*p*q(p)) = ; dsolve({de, q(px) = }, ...

  9. Day08 (黑客成长日记) 命名空间和作用域

    Day08:命名空间和作用域: 1.命名空间: (1)内置命名空间(python解释器): 就是python解释器一旦启动就可以使用的名字储存在内置命名空间中: eg: len() print() a ...

  10. 避免docker异常重启容器挂掉的解决方法

    Docker 升级或者重启容器不会被停掉然后重启的解决方法 在/etc/systemd/system/multi-user.target.wants/docker.service文件下添加配置 注意: ...