logstash信息采集

原創 qq_38622229 2018-08-26 23:52
信息采集

采集之前完成elasticsearch的搭建。
elasticsearch的搭建

server1:
rpm -ivh logstash-2.3.3-1.noarch.rpm
cd /opt/logstash/bin/
[root@server1 bin]# /opt/logstash/bin/logstash -e 'input { stdin {} } output { stdout {} }'  #输出终端
[root@server1 bin]# /opt/logstash/bin/logstash -e 'input { stdin {} } output { stdout { codec => rubydebug } }' # 更改输出格式
[root@server1 bin]# /opt/logstash/bin/logstash -e 'input { stdin {} } output { elasticsearch { hosts => ["172.25.11.1"] index => "logstash-%{+YYYY.MM.dd}" }  stdout { codec => rubydebug } }'  # 输出到es

这里写图片描述
这里写图片描述
这里写图片描述
这里写图片描述
编写文件,采集信息(文件的名字是*.conf)

vim /etc/lagstash/es.conf
input {
        stdin {}
}
output {
        elasticsearch {
                hosts => ["172.25.11.1"]
                index => "logstash-%{+YYYY.MM.dd}"
        }
        stdout {
                codec => rubydebug
        }
        file {
                path => "/tmp/demo.file"
                codec => line { format => "custom format: %{message}" }
        }
}

/opt/logstash/bin/logstash -f /etc/logstash/es.conf

终端输出:
这里写图片描述
elasticsearch输出:
这里写图片描述
这里写图片描述
文件输出:
这里写图片描述
将系统日志文件输出到elasticsearch中

vim /etc/lagstash/message.conf
input {
        file {
                path => "/var/log/messages"
                start_position => beginning
        }
}
output {
        elasticsearch {
                hosts => ["172.25.11.1"]
                index => "message-%{+YYYY.MM.dd}"
        }
}

/opt/logstash/bin/logstash -f /etc/logstash/es.conf

这里写图片描述
这里写图片描述

[root@server1 ~]# cat .sincedb_452905a167cf4509fd08acb964fdb20c  # elasticsearch 的读取记录,记录文件读取的内容地址
1044500 0 64768 32556
rsyslog 远程控制
server1:
vim /etc/logstash/message.conf
input {
        syslog {
                port => 514
        }
}
output {
#       elasticsearch {
#               hosts => ["172.25.11.1"]
#               index => "message-%{+YYYY.MM.dd}"
#       }
        stdout {
                codec => rubydebug
        }
}

server1上没有514端口

/opt/logstash/bin/logstash -f /etc/logstash/es.conf
netstat -antulp |grep :514

这里写图片描述

server2:
vim /etc/rsyslog.conf
*.*     @@172.25.11.1:514
/etc/init.d/rsyslog restart

这里写图片描述

多行日志采集
input {
        file {
                path => "/var/log/elasticsearch/my-es.log"
                start_position => "beginning"
        }
}

filter {
        multiline {
#               type => "type"
                pattern => "^\["
                negate => true
                what => "previous"
        }
}

output {
        elasticsearch {
                hosts => ["172.25.11.1"]
                index => "message-%{+YYYY.MM.dd}"
        }
        stdout {
                codec => rubydebug
        }
}

多行成为一行输出
这里写图片描述

apache信息采集
vim /etc/logstash/conf.d/test.conf
input {
        file {
                path => ["/var/log/httpd/access_log","/var/log/httpd/error_log"]
                start_position => "beginning"
        }
}

filter {
        grok {
                match => { "message" => "%{COMBINEDAPACHELOG}" }
        }
}
output {
        elasticsearch {
                hosts => ["172.25.11.1"]
                index => "apache-%{+YYYY.MM.dd}"
        }
        stdout {
                codec => rubydebug
        }
}

这里写图片描述
这里写图片描述

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

超热门表情包app爬虫

最近和同事和朋友鬥圖鬥得厲害,心想哪裏來的這麼多表情包,於是乎想着去表情包網站爬一波圖片下來,便有了今天這篇文章。 -----難度指數 ✩ -----閱讀本文大概需要12分 爬蟲案例100篇欄目的第一篇 由於app爬蟲網上的例子

爱python的王三金 2020-06-17 16:25:08

线报采集监控|人工智能+线报采集算法+大数据过滤无效线报

mahuan_1126 2020-04-28 02:01:18

IIS和Apache配置文件默认路径

fuckcat_2333 2020-02-22 20:31:38

代理IP池

Franciswmf 2018-12-10 15:38:56

深圳试行短信打印交通违法罚款单

ifeon 2018-09-03 11:11:56

php.ini安全设置

2018-08-26 19:13:20

端口转发

2018-08-26 19:13:20

几种常见服务的启动方法

2018-08-26 19:13:19

Nmap常用使用方法

2018-08-26 19:13:19

Windows系统和Linux系统常见敏感信息路径

2018-08-26 19:13:13