首先创建logstash配置文件(命名为syslog.conf),专门用于解析syslog日志,如下:
# 监听514端口
input {
syslog {
port => "514"
}
}
# 输出到控制台
output {
stdout {
codec => rubydebug
}
}
第二步,停止本机的rsyslog(syslog)服务,以避免514端口冲突:
# 停止接收服务器的日志服务
systemctl stop rsyslog
第三步,利用第一步创建的配置文件启动logstash:
# 进入logstash目录
./bin/logstash -f syslog.conf
第四步,在本机上测试是否能接收到rsyslog日志:
# 利用Linux自带的logg