收集系统日志是做监控的基础,本文章用rsyslog+elk收集系统日志
原理图:
ryslog 配置
ryslog 是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地
vim /etc/rsyslog.conf
找到 #*.* @@remote-host:514
修改 #*.* @@remote-host:514 -> *.* @@logstsh收集服务器IP:端口
重启服务
service rsyslog restart
logstash配置
input {
syslog {
port => "514"#用syslog会自动解析输入的信息成各个字段,配置方便
}
}
# 若果需要过滤字段可以在中间进行
output {
elasticsearch {
hosts => ["192.168.99.11:9200"]
index => "syslog-%{+YYYY.MM.dd}"
}
}
参考文档:http://udn.yyuap.com/doc/logstash-best-practice-cn/input/syslog.html