logstash实战input插件syslog

Posted 2020-09-23 minseo

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了logstash实战input插件syslog相关的知识，希望对你有一定的参考价值。

vim /etc/logstash/conf.d/syslog.conf

input{
    syslog{
    type => "system-syslog"
    port => 514
    }


}

output{
    stdout{
        codec => rubydebug
    }

}

启动

/opt/logstash/bin/logstash -f /etc/logstash/conf.d/syslog.conf

在开一个窗口可以看到514端口启动了

在另外一台服务器编辑

vim /etc/rsyslog.conf

*.*代表所有日志 @@接ip地址和对应的端口号，代表日志发送的主机和端口号

重启

systemctl restart rsyslog

另外服务端有输出

PS：-/var/log/maillog加一个-代表不立即写入

修改配置文件输入到es

input{
    syslog{
    type => "system-syslog"
    port => 514
    }


}

output{
    elasticsearch{
        hosts => ["10.13.85.9:9200"]
        index => "system-syslog-%{+YYYY.MM}"
    }

}

启动加入到kibana里面

PS：系统日志如果狂刷可能系统硬件问题

以上是关于logstash实战input插件syslog的主要内容，如果未能解决你的问题，请参考以下文章

Logstash：处理多个input

Logstash + Syslog 输入插件 VS Logstash + 文件输入插件 + Syslog 服务器

区分多个 syslog docker 源

Logstash+ Kafka基于AOP 实时同步日志到es

Python SysLogHandler -> syslog:logstash。设施未变