新建一个conf文件,/etc/logstash/conf.d 目录下面
输入:
此处收集了,系统messages 和 secure 日志
chmod 644 messages secure (授权)
输出:
类型是messageslog 输出到 es 和本地的/tmp/messages.log
类型是securelog 的输出到es
-t 检查一下配置是否正常,如果有错误,请根据错误解决问题。
注意:我们想收集的log文件 一定要给644权限,否则logstash 会没有权限读取日志内容
检查没有问题后执行:
去es 查看索引是否创建了:
日志内容也有了。
去kibana 配置一个索引,获取es数据:
查看kibana识别到的索引:
创建索引:
这里会显示出我们创建好的两个索引:
点击:discorey 查看索引:
到此logstash 手动测试全部正常,以后就不需要使用-e -f -t来测试启动了 , 直接使用系统的系统服务来系统管理就行。
启动:
[root@elk03 log]# systemctl start logstash.service
加入开机自启:
[root@elk03 log]# systemctl enable logstash.service
查看详细的启动详情:
[root@elk03 log]# tail -f /var/log/logstash/logstash-plain.log