logstash信息採集

原創 qq_38622229 2018-08-26 23:52
信息採集

採集之前完成elasticsearch的搭建。
elasticsearch的搭建

server1:
rpm -ivh logstash-2.3.3-1.noarch.rpm
cd /opt/logstash/bin/
[root@server1 bin]# /opt/logstash/bin/logstash -e 'input { stdin {} } output { stdout {} }'  #輸出終端
[root@server1 bin]# /opt/logstash/bin/logstash -e 'input { stdin {} } output { stdout { codec => rubydebug } }' # 更改輸出格式
[root@server1 bin]# /opt/logstash/bin/logstash -e 'input { stdin {} } output { elasticsearch { hosts => ["172.25.11.1"] index => "logstash-%{+YYYY.MM.dd}" }  stdout { codec => rubydebug } }'  # 輸出到es

這裏寫圖片描述
這裏寫圖片描述
這裏寫圖片描述
這裏寫圖片描述
編寫文件,採集信息(文件的名字是*.conf)

vim /etc/lagstash/es.conf
input {
        stdin {}
}
output {
        elasticsearch {
                hosts => ["172.25.11.1"]
                index => "logstash-%{+YYYY.MM.dd}"
        }
        stdout {
                codec => rubydebug
        }
        file {
                path => "/tmp/demo.file"
                codec => line { format => "custom format: %{message}" }
        }
}

/opt/logstash/bin/logstash -f /etc/logstash/es.conf

終端輸出:
這裏寫圖片描述
elasticsearch輸出:
這裏寫圖片描述
這裏寫圖片描述
文件輸出:
這裏寫圖片描述
將系統日誌文件輸出到elasticsearch中

vim /etc/lagstash/message.conf
input {
        file {
                path => "/var/log/messages"
                start_position => beginning
        }
}
output {
        elasticsearch {
                hosts => ["172.25.11.1"]
                index => "message-%{+YYYY.MM.dd}"
        }
}

/opt/logstash/bin/logstash -f /etc/logstash/es.conf

這裏寫圖片描述
這裏寫圖片描述

[root@server1 ~]# cat .sincedb_452905a167cf4509fd08acb964fdb20c  # elasticsearch 的讀取記錄,記錄文件讀取的內容地址
1044500 0 64768 32556
rsyslog 遠程控制
server1:
vim /etc/logstash/message.conf
input {
        syslog {
                port => 514
        }
}
output {
#       elasticsearch {
#               hosts => ["172.25.11.1"]
#               index => "message-%{+YYYY.MM.dd}"
#       }
        stdout {
                codec => rubydebug
        }
}

server1上沒有514端口

/opt/logstash/bin/logstash -f /etc/logstash/es.conf
netstat -antulp |grep :514

這裏寫圖片描述

server2:
vim /etc/rsyslog.conf
*.*     @@172.25.11.1:514
/etc/init.d/rsyslog restart

這裏寫圖片描述

多行日誌採集
input {
        file {
                path => "/var/log/elasticsearch/my-es.log"
                start_position => "beginning"
        }
}

filter {
        multiline {
#               type => "type"
                pattern => "^\["
                negate => true
                what => "previous"
        }
}

output {
        elasticsearch {
                hosts => ["172.25.11.1"]
                index => "message-%{+YYYY.MM.dd}"
        }
        stdout {
                codec => rubydebug
        }
}

多行成爲一行輸出
這裏寫圖片描述

apache信息採集
vim /etc/logstash/conf.d/test.conf
input {
        file {
                path => ["/var/log/httpd/access_log","/var/log/httpd/error_log"]
                start_position => "beginning"
        }
}

filter {
        grok {
                match => { "message" => "%{COMBINEDAPACHELOG}" }
        }
}
output {
        elasticsearch {
                hosts => ["172.25.11.1"]
                index => "apache-%{+YYYY.MM.dd}"
        }
        stdout {
                codec => rubydebug
        }
}

這裏寫圖片描述
這裏寫圖片描述

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

超熱門表情包app爬蟲

最近和同事和朋友鬥圖鬥得厲害,心想哪裏來的這麼多表情包,於是乎想着去表情包網站爬一波圖片下來,便有了今天這篇文章。 -----難度指數 ✩ -----閱讀本文大概需要12分 爬蟲案例100篇欄目的第一篇 由於app爬蟲網上的例子

爱python的王三金 2020-06-17 16:25:08

線報採集監控|人工智能+線報採集算法+大數據過濾無效線報

mahuan_1126 2020-04-28 02:01:18

IIS和Apache配置文件默認路徑

fuckcat_2333 2020-02-22 20:31:38

代理IP池

Franciswmf 2018-12-10 15:38:56

深圳試行短信打印交通違法罰款單

ifeon 2018-09-03 11:11:56

php.ini安全設置

2018-08-26 19:13:20

端口轉發

2018-08-26 19:13:20

幾種常見服務的啓動方法

2018-08-26 19:13:19

Nmap常用使用方法

2018-08-26 19:13:19

Windows系統和Linux系統常見敏感信息路徑

2018-08-26 19:13:13