最基础的logstash配置:
路径:/etc/logstash/logstash.yml
path.data: /var/lib/logstash
http.host: “0.0.0.0”
#地址可以写你自己的本机IP
path.logs: /var/log/logstash
修改完成后进行日志处理的配置:
路径:/etc/logstash/conf.d/test.conf
#这个路径下存放的就是针对日志接收处理发送的配置了,本次只给出简单的例子。
原理:监听9600端口进行日志收集。根据判断字段内容将日志发送给Elasticsearch,并自动创建索引名字为
input {
tcp {
port => 9600
type => syslog
codec => json
}
}
filter {
}
output {
if "message-10-15" in [tags]{
elasticsearch {
hosts => ["192.168.10.15:9200"]
index => "message-10-15-%{+yyyy.MM.dd}"
}
}
}
配置完成后启动logstash:
systemctl start logstash
检查运行状态:此处可以多执行几遍因为不会马上显示运行的最终结果。或者可以去日志查看,日志路径/var/log/logstash/logstash-plain.log
systemctl status logstash
运行正常时不会有ERROR提示,切输出为
[2020-05-28T15:13:45,756][INFO ][logstash.javapipeline ] Pipeline started {"pipeline.id"=>"main"}
[2020-05-28T15:13:45,774][INFO ][logstash.inputs.tcp ] Starting tcp input listener {:address=>"0.0.0.0:9600", :ssl_enable=>"false"}
[2020-05-28T15:13:46,306][INFO ][logstash.agent ] Pipelines running {:count=>1, :running_pipelines=>[:main], :non_running_pipelines=>[]}
[2020-05-28T15:13:46,896][INFO ][logstash.agent ] Successfully started Logstash API endpoint {:port=>9601}
###看到类似上面输出说明启动正常了,可以进行下一步。
2 条评论
woniusnail · 2021年9月16日 下午5:26
sasdasdasdasdasdasdasdasd
woniusnail · 2021年9月16日 下午5:26
1