vim /etc/logstash/conf.d/syslog.conf input{ syslog{ type => "system-syslog" port ...

有些日志（比如apache）不像nginx那样支持json可以使用grok插件 grok利用正则表达式就行匹配拆分 预定义的位置在 /opt/logstash/vendor/bundle/jru ...