阅读量:27
要在Ubuntu上将syslog集成到ELK Stack(Elasticsearch、Logstash和Kibana)中,您需要执行以下步骤:
-
安装Elasticsearch和Kibana:
首先,您需要在Ubuntu上安装Elasticsearch和Kibana。可以使用以下命令安装:
sudo apt-get update sudo apt-get install elasticsearch kibana安装完成后,启动并启用Elasticsearch和Kibana服务:
sudo systemctl start elasticsearch sudo systemctl enable elasticsearch sudo systemctl start kibana sudo systemctl enable kibana -
安装Logstash:
使用以下命令安装Logstash:
sudo apt-get install logstash安装完成后,启动并启用Logstash服务:
sudo systemctl start logstash sudo systemctl enable logstash -
配置Logstash:
创建一个新的Logstash配置文件,例如
/etc/logstash/conf.d/syslog.conf,并添加以下内容:input { syslog { port => 514 type => "syslog" } } filter { # 根据需要添加过滤器 } output { elasticsearch { hosts => ["localhost:9200"] index => "syslog-%{+YYYY.MM.dd}" } }这个配置文件将从UDP端口514接收syslog消息,并将它们发送到Elasticsearch。
-
配置rsyslog:
编辑
/etc/rsyslog.conf文件,取消以下行的注释:$ModLoad imudp $UDPServerRun 514然后,在文件末尾添加以下行,以便将syslog消息转发到Logstash:
*.* @localhost:5000这将把所有syslog消息发送到Logstash的UDP端口5000。
-
重启服务:
重启rsyslog和Logstash服务以应用更改:
sudo systemctl restart rsyslog sudo systemctl restart logstash -
验证集成:
现在,您应该能够在Kibana中看到来自syslog的消息。打开Kibana Web界面(通常位于
http://),然后导航到“Management” > “Stack Management” > “Index Patterns”。您应该能够看到一个名为:5601 syslog-*的索引模式。点击它,然后选择“Discover”选项卡以查看syslog消息。
这样,您就已经成功地将Ubuntu上的syslog集成到了ELK Stack中。