我的ELK搭建笔记（以服务方式运行Logstash）

Posted 2021-04-21 唯品会安全应急响应中心

我的ELK搭建笔记

以服务方式运行Logstash

M

目录预览

1、准备服务安装文件

2、运行服务安装脚本

3、启动Logstash服务

4、查看服务运行日志

5、这个地方有陷阱

在HELLO WORLD项目中，logstash是以命令行方式运行的。这种方式适合调试，不适合在生产环境自动化运行，如果你和我一样，希望能以服务的方式允许logstash，让每次系统启动都能自动运行logstash，那么这篇笔记可供参考。

1、准备服务安装文件

假定Logasth主目录在用户elk-test：

/home/elk-test/elk-install/logstash-5.1.2文件夹下

首先修改服务安装配置文件：

/home/elk-test/elk-install/logstash-5.1.2/config/startup.options

如果您有自定义的grok patterns，请统一放在Logstash主目录下的patterns文件夹。

示例的syslog-min.conf如下：

2、运行服务安装脚本

在logstash主目录下，以root身份执行命令bin/system-install安装服务。

3、启动Logstash服务

启动Logstash服务

设置服务自启动：systemctl enable logstash

启动服务：systemctl start logstash

停止服务：systemctl stop logstash

重启服务：systemctl restart logstash

查看服务状态：systemctl status logstash

4、查看服务运行日志

• /var/log/messages

• /home/elk-test/elk-install/logstash-5.1.2/logs/logstash-plain.log

5、这个地方有陷阱

以服务方式运行后，logstash会加载mappings目录下所有的配置文件，并且会合并。因此，如果日志解析出现问题，记得查看下这些配置文件有没有冲突的？我自己曾在这个目录放了syslog和jdbc两个配置文件，结果导致输入冲突。如果你希望在同一台服务器上部署多个服务，最好是把logstash主目录多复制几份，安装在不同的来启动吧。

好了，是不是技能又提升了？

持续关注我，和我在ELK的应用道路上一起精进！

__ !!! 重 要 声 明 !!! __

唯品会安全应急响应中心VSRC（官网：https://sec.vip.com/）是唯一接收唯品会安全漏洞的平台，唯品会从未授予任何第三方机构或个人接收唯品会相关安全漏洞，任何个人或机构若在第三方平台提交唯品会相关安全漏洞，一切后果自负。

且在必要情况下，我们将会以相关法律手段予以处理，若有任何问题，请随时联系我们。

点击阅读上篇精彩分享《我的ELK搭建笔记（阿里云上部署）》