服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 使用Logstash作为托运人?
Intereting Posts
使用LDAP进行MySQL身份validation? 服务器可以有“太多”的内存? 有一个最佳的内存水平,或者更好总是更好? UDP Flood的原因 如何在不重新启动Apache Web服务器的情况下configurationVirtualHost? 解决Samba服务器连接问题 回滚大文件重命名/移动操作的方式 如何仅通过FTP部署新的和已更改的文件 Nagios升级和通配符 Ping答复没有得到LAN机器,但进入Linux路由器网关 在EC2托pipe的Ubuntu上,homedir权限和主机名更改后,SSH断开 configurationvagrant使用主机的SOCKS代理 如何使用SSD对maxCache 3.0进行基准testing? 如何限制FTP连接到某个IP范围? 木偶大师不能接受请求 如何阻止反垃圾邮件

使用Logstash作为托运人?

我们从服务器发送日志,并在每台服务器上使用logstash进行装运。

所以我们从glob "/root/Desktop/Logstash-Input/**/*_log"读取日志。 

  input { file{ path => "/root/Desktop/Logstash-Input/**/*_log" start_position => "beginning" } }

从这个glob我们从我们想要添加到事件的path提取字段 。 例如:从目录path提取serverlogtype等。我们这样做: 

 filter { grok { match => ["path", "/root/Desktop/Logstash-Input/(?<server>[^/]+)/(?<logtype>[^/]+)/(?<logdate>[\d]+.[\d]+.[\d]+)/(?<logfilename>.*)_log"] } }

然后我们使用lumberjack输出插件将这些日志输出到中央logstash服务器。 

 output { lumberjack { hosts => ["xx.xx.xx.xx"] port => 4545 ssl_certificate => "./logstash.pub" } stdout { codec => rubydebug } }

问题在于,运送到中央服务器的日志会丢失使用grok添加的字段。 例如中央服务器上不存在serverlogtype等。 但是,客户机控制台显示添加的字段,但在中央logstash服务器上仅messagetimestampversion

客户端(从哪里发送日志)控制台: 

 output received {:event=>{"message"=>"2014-05-26T00:00:01+05:30 host crond[268]: (root) CMD (2014/05/31/server2/cron/log)", "@version"=>"1", "@timestamp"=>"2014-07-16T06:07:21.927Z", "host"=>"host", "path"=>"/root/Desktop/Logstash-Input/Server2/CronLog/2014.05.31/cron_log", "server"=>"Server2", "logtype"=>"CronLog", "logdate"=>"2014.05.31", "logfilename"=>"cron"}, :level=>:debug, :file=>"(eval)", :line=>"37"} { "message" => "2014-05-26T00:00:01+05:30 bx920as1 crond[268]: (root) CMD (2014/05/31/server2/cron/log)", "@version" => "1", "@timestamp" => "2014-07-16T06:07:21.927Z", "host" => "host", "path" => "/root/Desktop/Logstash-Input/Server2/CronLog/2014.05.31/cron_log", "server" => "Server2", "logtype" => "CronLog", "logdate" => "2014.05.31", "logfilename" => "cron" }

中央服务器(日志传送到)控制台

 { "message" => "2014-07-16T05:33:17.073+0000 host 2014-05-26T00:00:01+05:30 bx920as1 crond[288]: (root) CMD (2014/05/31/server2/cron/log)", "@version" => "1", "@timestamp" => "2014-07-16T05:34:02.370Z" }

因此,运送时,grokked域将被丢弃。 为什么这样?

我怎样才能保留字段?

解决了:

我通过添加codec => "json"到我的伐木工人输出和input来解决它。

输出: 

 output { lumberjack { hosts => ["xx.xx.xx.xx"] port => 4545 ssl_certificate => "./logstash.pub" codec => "json" }

input: 

 input { lumberjack { port => 4545 ssl_certificate => "/etc/ssl/logstash.pub" ssl_key => "/etc/ssl/logstash.key" codec => "json" } }