新建一個conf文件,/etc/logstash/conf.d 目錄下面
輸入:
此處收集了,系統messages 和 secure 日志
chmod 644 messages secure (授權)
輸出:
類型是messageslog 輸出到 es 和本地的/tmp/messages.log
類型是securelog 的輸出到es
-t 檢查一下配置是否正常,如果有錯誤,請根據錯誤解決問題。
注意:我們想收集的log文件 一定要給644權限,否則logstash 會沒有權限讀取日志內容
檢查沒有問題后執行:
去es 查看索引是否創建了:
日志內容也有了。
去kibana 配置一個索引,獲取es數據:
查看kibana識別到的索引:
創建索引:
這里會顯示出我們創建好的兩個索引:
點擊:discorey 查看索引:
到此logstash 手動測試全部正常,以后就不需要使用-e -f -t來測試啟動了 , 直接使用系統的系統服務來系統管理就行。
啟動:
[root@elk03 log]# systemctl start logstash.service
加入開機自啟:
[root@elk03 log]# systemctl enable logstash.service
查看詳細的啟動詳情:
[root@elk03 log]# tail -f /var/log/logstash/logstash-plain.log