最近項目出了點事情,搞的很懵比&鬱悶,不過問題也算是解決了。
日誌蒐集統計使用logstash,logstash的使用方法可以參照:https://www.elastic.co/guide/en/logstash/6.2/advanced-pipeline.html
我這裏使用的logstash版本爲logstash-5.6.5,Elasticsearch版本爲Elasticsearch-2.4.6,說一下版本是因爲,不同的logstash版本和Elasticsearch同步的時候可能會出現一些不可預知的問題,在Elasticsearch的使用說明上有提示,大家自己去翻一翻英文文檔。
來一份logstash日誌同步的簡單配置:
input {
file {
path => ["/usr/local/var/log/suricata/eve-*.json"] --這裏是日誌的路徑
codec => json
type => "accesslog"
}
}
output {
elasticsearch {
hosts => ["IP:9200"]
index => "es索引名稱"
codec => "json" --我這裏是json格式的
}
}日誌同步的時候,可以根據自己的需求做一些filter過濾,大概就講這麼多吧。
工作方向可能要變了,鬱悶。。。