2. 程式人生 > >logstash收集syslog日誌

logstash收集syslog日誌

阿新 發佈:2018-07-16
.mm sys obj deb utf process spool -c settings

logstash收集syslog日誌
註意:生產用syslog收集日誌!!!

編寫logstash配置文件

#首先我用rubydebug測試數據
[root@elk-node1 conf.d]# cat syslog.conf
input{
    syslog{
    type => "system-syslog"
    host => "192.168.247.135"
    port => "514"
}
}
output{
    stdout{
    codec => "rubydebug"
}
#檢查語法
[root@elk-node1 conf.d]# /opt/logstash/bin/logstash -f /etc/logstash/conf.d/syslog.conf --configtest
Configuration OK
You have new mail in /var/spool/mail/root
[root@elk-node1 ~]# ss -lntp|grep 514
LISTEN     0      50      ::ffff:192.168.247.135:514                     :::*                   users:(("java",pid=9605,fd=14))
#修改rsyslog配置文件讓其能訪問
[root@elk-node1 ~]# vim /etc/rsyslog.conf
*.* @@192.168.247.135:514
[root@elk-node1 ~]# systemctl restart rsyslog
[root@elk-node1 ~]#
#運行測試
[root@elk-node1 conf.d]# /opt/logstash/bin/logstash -f /etc/logstash/conf.d/syslog.conf
Settings: Default filter workers: 1
Logstash startup completed
{
           "message" => "Registered Authentication Agent for unix-process:9680:2638370 (system bus name :1.490 [/usr/bin/pkttyagent --notify-fd 5 --fallback], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale en_US.UTF-8)\n",
          "@version" => "1",
        "@timestamp" => "2018-07-15T10:08:58.000Z",
              "type" => "system-syslog",
              "host" => "192.168.247.135",
          "priority" => 85,
         "timestamp" => "Jul 15 18:08:58",
         "logsource" => "elk-node1",
           "program" => "polkitd",
               "pid" => "686",
          "severity" => 5,
          "facility" => 10,
    "facility_label" => "security/authorization",
    "severity_label" => "Notice"
}
#添加到elk-log.yml文件
[root@elk-node1 conf.d]# cat elk_log.conf
input {
    file {
      path => "/var/log/messages"
      type => "system"
      start_position => "beginning"
    }
    file {
       path => "/var/log/elasticsearch/hejianlai.log"
       type => "es-error"
       start_position => "beginning"
      codec => multiline {
          pattern => "^\["
          negate => true
          what => "previous"
        }
    }
       file {
       path => "/var/log/nginx/access_json.log"
       codec => json
       start_position => "beginning"
       type => "nginx-log"
    }
    syslog{
    type => "system-syslog"
    host => "192.168.247.135"
    port => "514"
}
}
output {
    
    if [type] == "system"{
        elasticsearch {
           hosts => ["192.168.247.135:9200"]
           index => "systemlog-%{+YYYY.MM.dd}"
        }
    }
 
    if [type] == "es-error"{
        elasticsearch {
           hosts => ["192.168.247.135:9200"]
           index => "es-error-%{+YYYY.MM.dd}"
        }
    }
       if [type] == "nginx-log"{
        elasticsearch {
           hosts => ["192.168.247.135:9200"]
           index => "nginx-log-%{+YYYY.MM.dd}"
        }
    }
       if [type] == "system-syslog"{
        elasticsearch {
           hosts => ["192.168.247.135:9200"]
           index => "system-syslog-log-%{+YYYY.MM.dd}"
        }
    }
}

#檢查語法
[root@elk-node1 conf.d]# /opt/logstash/bin/logstash -f /etc/logstash/conf.d/elk_log.conf --configtestConfiguration OK
#後臺運行
[root@elk-node1 conf.d]# ps aux|grep elk|awk ‘{print $2}‘|xargs kill -9
kill: sending signal to 9780 failed: No such process
You have new mail in /var/spool/mail/root
[root@elk-node1 conf.d]# ps aux|grep elk|awk ‘{print $2}‘
9785
[1]+  Killed                  /opt/logstash/bin/logstash -f /etc/logstash/conf.d/elk_log.conf  (wd: ~)
(wd now: /etc/logstash/conf.d)
[root@elk-node1 conf.d]# ps aux|grep elk
root       9788  0.0  0.0 112704   972 pts/0    R+   18:18   0:00 grep --color=auto elk
[root@elk-node1 conf.d]# /opt/logstash/bin/logstash -f /etc/logstash/conf.d/elk_log.conf &
[1] 9789
#手動添加日誌
[root@elk-node1 conf.d]# logger "you hao"
[root@elk-node1 conf.d]# logger "hello world"
[root@elk-node1 conf.d]# logger "跟我一起學貓叫,一起喵喵喵"

技術分享圖片

Kibana設置

看hand插件上我們能看到system-syslog索引

技術分享圖片

Kibana上添加system-syslog索引

技術分享圖片

技術分享圖片

完美

技術分享圖片

logstash收集syslog日誌

相關推薦

logstash收集syslog日誌

.mm sys obj deb utf process spool -c settings logstash收集syslog日誌註意:生產用syslog收集日誌!!! 編寫logstash配置文件 #首先我用rubydebug測試數據 [root@elk-node

使用logstash收集syslog日誌時,必須使用root使用者啟動Logstash

logstash是elstic stack套件中負責收據、轉換資料用的工具。 logstash其中一項功能是收集syslog日誌,syslog的預設埠時514。 可能的配置檔案 input { syslog { port => "514" } } out

安裝kibana、安裝logstashlogstash收集syslog日誌

安裝kibana、安裝logstash,logstash收集syslog日誌     ELK安裝 – 安

logstash收集tomcat日誌

logstash1,日誌格式2015-09-28·09:50:48·[http-bio-80-exec-13]·DEBUG·com.weitoo.server.aspect.LogAspect·-{ip:183.16.4.40,url:http://api.xx.com/server/sc/commodity

Logstash收集nginx日誌之使用grok過濾插件解析日誌

stat 使用 ssa agent AD IT ber ems tput grok作為一個logstash的過濾插件,支持根據模式解析文本日誌行,拆成字段。 nginx日誌的配置: log_format main ‘$remote_addr - $rem

logstash收集Nginx日誌,轉換為JSON格式

Nginx日誌處理為JSON格式,並放置在http區塊: 1 log_format json '{"@timestamp":"$time_iso8601",' 2 '"@version":"1",' 3

ELK日誌處理之使用logstash收集log4J日誌

介紹一下如何從Java工程中匯出log4J日誌到Logstash。 一、log4j基礎 不能免俗的官方介紹: Log4j 是一個使用 Java 語言編寫的,可靠、快速、靈活的日誌框架(API),使用 Apache Software License 授權。它被移植到 C

ELK日誌處理之使用logstash收集log4J日誌 和log4j日誌properties配置

Log4j 主要由三部分組成: loggers:負責採集日誌資訊。 appenders:負責將日誌資訊釋出到不同地方。 layouts:負責以各種風格格式化日誌資訊。 建立maven工程,pom中匯入日誌依賴: <dependency> <

Logstash收集nginx日誌

uid mozilla integer date war rem 不足 中間 erer 1、首先是要在nginx裏面配置日誌格式化輸出 log_format main "$http_x_forwarded_for | $time_local | $requ

logstash收集nginx日誌、filebeat

logstash收集nginx日誌 使用Beats採集日誌(filebeat)      

ELK 使用filebeat替代Logstash收集日誌

con elk arr cts 增加 mes conf ats filebeat 使用beats采集日誌 之前也介紹過beats是ELK體系中新增的一個工具,它屬於一個輕量的日誌采集器,以上我們使用的日誌采集工具是logstash,但是logstash占用的資源比較大,沒有

logstash收集java程式日誌,並儲存到es中

說明:收集多個java程式的日誌,並輸出到es中。   編輯logstash的conf檔案 vim log.conf 配置檔案內容如下: input { file { start_position => end #

filebeat + kafka + logstash + Elasticsearch + Kibana日誌收集系統搭建

一、介紹        在日常運維工作中,對於系統和業務日誌的處理尤為重要。今天,在這裡分享一下自己部署的filebeat + kafka + ELK開源實時日誌分析平臺的記錄過程。 1、ELK介紹      &nbs

Spring整合Rabbitmq收集Logback日誌,利用進行Logstash資料整理儲存到Elasticsearch中

專案中我們常用的是把Logback列印的日誌儲存到檔案中儲存到硬碟上,這樣不利於日誌的收集和分析。 以下演示在SpringBoot中通過rabbitmq收集logback日誌儲存到Elasticsearch中。 環境準備:安裝RabbitMQ,安裝Elasticsearc

filebeat和logstash收集處理java多行日誌

2017-11-15 08:04:23:889 ERROR com.weconex.pay.callback.gateway.service.mq.receive.MerchantCallbackReceiver 173 send - 商戶回撥閘道器-- 傳送HTTP異常!引數:requestNo=1012

logstash實現分散式日誌收集

1、logstash的目前的最新版本是2.0.0,建議安裝在Linux平臺,雖然它也支援Windows平臺,但可能會有問題 下載: wget https://download.elastic.co/logstash/logstash/logstash-2.0.0.tar.gz 2、解

使用Logstash收集Kubernetes的應用日誌

開發十年,就只剩下這套架構體系了! >>>   

ELK收集nginx日誌並用高德地圖展示出IP

elk nginx kibana es logstash (一)測試的環境agentd:192.168.180.22ES:192.168.180.23kibana:192.168.180.23采用的拓撲:logstash -->ES-->kibana(二)實施步驟: (1)

編譯bash實現history的syslog日誌記錄

bash rpmbuild一、下載bash源碼包 [[email protected]/* */ other_x86_64]# http://vault.centos.org/6.9/os/Source/SPackages/bash-4.1.2-48.el6.src.rpm二、安裝源碼包 [[em

Elasticsearch+logstash+kibana實現日誌分析(實驗)

elasticsearch logstash kibana Elasticsearch+logstash+kibana實現日誌分析(實驗)一、前言 Elastic Stack(舊稱ELK Stack),是一種能夠從任意數據源抽取數據,並實時對數據進行搜索、分析和可視化展現的數據分析框架。(h