我想弄清楚如何 Logstash与系统日志集成。以下哪项是正确的:
- Logstash 本身是一个真正的系统日志服务器(实现系统日志协议(protocol))。在这种情况下,您将所有 syslog 客户端配置为通过 syslog 协议(protocol)直接登录到 Logstash 服务器。或者...
- 您将所有 syslog 客户端配置为记录到集中式 syslog 服务器(例如运行 rsyslog 的计算机),然后在 syslog 服务器和 Logstash 服务器之间配置某种桥接器?或者...
- 完全是别的东西?
我希望了解 syslog 客户端、syslog 服务器和 Logstash 之间的关系。
最佳答案
如果您在logstash ( http://logstash.net/docs/1.4.0/inputs/syslog ) 上使用系统日志输入,则您正在设置 TCP/UDP 系统日志服务器。这意味着您必须告诉您的客户端(例如 log4j)您的 syslog 服务器在哪里,或者配置已运行的 syslog 实例以将消息转发到您的 Logstash 实例(通过 *.* @host
语法在/etc/syslog.conf 文件中)。
这实际上取决于您的要求 - 如果您需要从 unix 域套接字接收日志,则必须使用转发方法或设置文件监视程序来直接监视/var/log/* 文件.
关于syslog - Logstash 如何与 Syslog 集成?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23503644/