ELK 실전 - Logstash:rsyslog 로그 수집

개요

본고는 주로logstash를rsyslog 서버로 전시하고 원격의rsyslog 로그를 수집합니다.
본고의 읽기 기초는 다음과 같다. *rsyslog 서버를 이해하거나rsyslog 로그 서버를 읽거나-로그 쓰기 원격 rsyslog 서버*ELK에 대해 초보적인 이해를 하고 ELK를 체험하여 로그 수집을 하거나 ELK를 읽거나:환경 구축 & 초기 체험

테스트 환경

CentOS7 시스템 2개:

ELK 서버

rsyslog 클라이언트

실전

logstash 프로필

logstash 프로필 (logstash.conf.rsyslog) 은 다음과 같습니다.

input {
    tcp {
        port => 514
        type => syslog
    }
    udp {
        port => 514
        type => syslog
    }
}
output {
    elasticsearch { hosts => ["localhost:9200"] }
    stdout {  }
}

프로필 설명:

입력

감청 TCP/UDP의 514 포트를 설정하고 유형은rsyslog..

이렇게 설정하면logstash 서비스가 시작될 때rsyslog 서버로 다른rsyslog에서 로그를 수신합니다..

출력:

로그를 로컬elasticsearch로 출력합니다

동시에 받은 로그를 표준 출력에 인쇄합니다..

비고: 이곳의 tcp,udp 포트는 514로만 설정할 수 있으며 다른 포트를 직접 테스트한 적이 있습니다. 원인은 현재 알 수 없습니다.

ELK 시작

rsyslog 서버 사용 안 함.logstach가 감청 514 포트를 설정했기 때문에 개량 포트가 사용되지 않도록 하려면rsyslog 서버를 사용하지 않아야 합니다..netstat -ano | grep 514 514 포트가 사용되고 있는지 확인합니다service rsyslog stop rsyslog 서버를 중지합니다

elastaticsearch를 시작합니다.elastaticsearch 시작 참조

logstash 시작:bin/logstash -f [your_path]/logstash.conf.rsyslog .logstash 시작 참조

키바나 가동.키바나 시작 참조

rsyslog 클라이언트 설정

rsyslog 클라이언트를 위한 시스템에서rsyslog 서버를 로 설정합니다[ELK_IP]:514
rsyslog 관련 설정을 참고하십시오.

검증

rsyslog 클라이언트에서 다음 명령을 실행합니다logger -p info "hello, remote rsyslog"
logstash의 표준 출력에서'hello,remotersyslog'를 볼 수 있습니다.키바나에서도 대응하는 로그를 볼 수 있다.
이로써 ELK는 rsyslog 서버로서 rsyslog 로그를 수집하는 실전을 마쳤다.