logstash(一)：搭建syslog测试环境

最新推荐文章于 2025-10-24 12:44:44 发布

原创

最新推荐文章于 2025-10-24 12:44:44 发布 · 6.6k 阅读

6 ·

CC 4.0 BY-SA版权

文章标签：

#logstash #日志服务器 #syslog #转发日志

本文介绍了如何搭建logstash作为syslog日志服务器，包括创建syslog.conf配置文件，停止rsyslog服务防止端口冲突，启动logstash接收日志，以及在发送端配置rsyslog.conf和使用logger模拟日志发送，确保日志服务器能够持续接收日志信息。

首先创建logstash配置文件（命名为syslog.conf），专门用于解析syslog日志，如下：

#   监听514端口
input {
    syslog {
        port => "514"
    }
}
#   输出到控制台
output {
    stdout {
        codec => rubydebug
    }
}

第二步，停止本机的rsyslog(syslog)服务，以避免514端口冲突：

#   停止接收服务器的日志服务
systemctl stop rsyslog

第三步，利用第一步创建的配置文件启动logstash：

#   进入logstash目录
./bin/logstash -f syslog.conf

第四步，在本机上测试是否能接收到rsyslog日志：

#   利用Linux自带的logger程序
# T采用TCP协议， P为端口号，n为主机地址
logger -T -P

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

蚁方阵

关注关注

1
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

使用logstash接收syslog，针对同一端口区分不同索引

baalchina的专栏

01-23

3503

概述之前已经实现了syslog到logstash到elasticsearch的一个syslog收集过程。但是有个问题一直困扰我，就是有些设备因为比较老，不支持将syslog送到不同的端口，所以他们的日志在kibana里就很难区分，也就不太好针对性的去做解析了。折腾了一下午，google无数+es论坛的帮助，基本解决了这个问题。解决方法大致的思路还是在logstash上做文章。我们知道，logstash的配置文件分为三个部分，即input、filter和output。首先在input这里，参数如下。

【逗老师带你学IT】最简单的Elasticsearch+Logstash收集syslog避坑指南-适合网络工程师

逗老师的博客

05-19

3053

笔者最近在尝试使用Elasticsearch+Logstash搭建一个适合收集网络设备syslog日志的平台。因为之前完全没接触过过ES全家桶，所以这两天好好百度了一下，然后发现：网上的文章全是坑！！！写的好的，一看时间，2017年的。2020年的新文章呢，又臭又长。众所周知的，逗老师是一个网络工程师。网络工程师跟开发者们看待实物的逻辑是不一样的。本文，笔者从一个网络 ...

参与评论您还未登录，请先登录后发表或查看评论

Logstash配置输出Syslog

roughman9999的博客

06-05

1960

Logstash 是一个开源的数据收集引擎，它具有备实时数据传输能力，可以统一过滤来自不同源的数据，并按照开发者的制定的规范输出到目的地，通过安装不同的插件，可以支持不同的输出方式

如何快速上手Visual Syslog：Windows系统日志可视化工具的完整指南

最新发布

gitblog_00940的博客

10-24

861

Visual Syslog是一款专为Windows系统设计的免费日志可视化工具，它能帮助开发者和运维人员轻松收集、解析和展示系统日志，让复杂的日志数据变得直观易懂。通过图形化界面实时监控日志流，这款工具让日志分析工作效率提升300%，是系统维护的必备神器！ ## 为什么选择Visual Syslog？5大核心优势解析 ✨ 在众多日志工具中，Visual Syslog凭借以下特性脱颖而出： -...

logstash-output-syslog

05-10

logstash-output-syslog插件安装，logstash中转接收syslog日志

Logstash+syslog

gqdw

03-22

3865

Logstash + sysloglogstash-syslog.confinput { tcp { port => 5000 type => syslog } udp { port => 5000 type => syslog } }filter { if [type] == "syslog" { grok { match =

logstash配置_自动运维|logstash收集syslog及保存实践

weixin_39798031的博客

12-04

1174

各位新朋友～记得先点蓝字关注我哦～什么是logstash?ELK号称日志聚合分析全家桶，三个字母分别代表Elasticsearch、Logstash、Kibana，Elasticsearch侧重数据的搜索、分析和存储，Kibana主要是为Elasticsearch提供可视化的web操作页面，Logstash能动态地采集、转换和传输数据，可收集并处理日志数据并发送到Elasticsearc...

Python日志分析大师课：利用syslog数据进行故障诊断

Python作为一种强大的编程语言，提供了丰富的库和模块来处理日志文件，使得日志分析变得更加高效和自动化。 ## 日志分析的基本概念日志分析通常涉及以下几个基本概念： - **日志收集**：从不同来源（如系

19、AWS 环境下的日志管理：使用 Logstash 构建高效系统

silver的专栏

10-09

本文介绍了在AWS环境下使用Logstash构建高效日志管理系统的完整方案。面对云环境中动态实例带来的日志复杂性与成本挑战，文章详细阐述了通过Logstash实现集中式日志收集、处理与可视化的方法。内容涵盖安全组配置、Logstash服务器与客户端的部署、Kibana界面访问，并进一步提出利用S3作为中间存储以增强系统解耦性、可靠性和可扩展性。同时提供了操作流程图、常见问题解决方案及最佳实践建议，帮助用户构建稳定、灵活的云端日志管理体系。

【PetaLinux终极指南】：搭建高性能嵌入式Linux开发环境

[【PetaLinux终极指南】：搭建高性能嵌入式Linux开发环境](https://fraserinnovations.com/wp-content/uploads/2021/03/16103970271-1024x532.png) # 摘要本文全面介绍了PetaLinux操作系统的特点，包括其概述、...

Logstash收集Syslog日志

xuguokun1986的博客

05-17

1万+

1、rsyslog服务端配置 # rsyslog v5 configuration file # For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html # If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.ht

Logstash：实用 Logstash 收集 Syslog 日志指南

热门推荐

Elastic 中国社区官方博客

02-09

1万+

Syslog 是一种流行的标准，用于集中和格式化网络设备生成的日志数据。它提供了一种生成和收集日志信息的标准化方式，例如程序错误、通知、警告、状态消息等。几乎所有类 Unix 操作系统，例如基于 Linux 或 BSD 内核的操作系统，都使用负责收集和存储日志信息的 Syslog 守护进程。它们通常存储在本地，但如果管理员希望能够从一个位置访问所有日志，它们也可以流式传输到中央服务器。默认情况下，端口 514 和 UDP 用于传输 Syslog。在我之前的文章 “Beats：使用 Linux 系统

Syslog发送日志+Logstash处理日志

weixin_46356409的博客

01-11

6705

Syslog（System Logging Protocol）是一种用于计算机系统日志记录的标准协议。它允许设备（如服务器、路由器、防火墙等）将事件消息发送到指定的日志收集服务器，以便集中管理和分析。通过使用Syslog，您可以跟踪您的网络中的活动并在出现问题时快速识别和解决问题。要将告警日志发送到某台机器的某个端口，您需要在发送端（产生日志的设备）和接收端（日志收集服务器）上配置Syslog。这里我们以rsyslog为例，rsyslog是Linux系统上常用的Syslog服务器。

110.安装kibana、安装logstash，logstash收集syslog日志

weixin_33895516的博客

05-27

388

2019独角兽企业重金招聘Python工程师标准>>> ...

logstash收集syslog日志

weixin_30663391的博客

07-16

3721

logstash收集syslog日志注意：生产用syslog收集日志！！！编写logstash配置文件 #首先我用rubydebug测试数据 [root@elk-node1 conf.d]# cat syslog.conf input{ syslog{ type => "system-syslog" host => "192.168.247....

logstash收集syslog

weixin_33717298的博客

07-19

172

2019独角兽企业重金招聘Python工程师标准>>> ...

ELK（日志系统）——logstash数据采集+Syslog输入插件+grok/多行过滤插件

qq_46089299的博客

06-13

2454

一、logstash简介 Logstash是一个开源的服务器端数据处理管道。 logstash拥有200多个插件，能够同时从多个来源采集数据，转换数据，然后将数据发送到您最喜欢的 “存储库” 中。（大多都是 Elasticsearch。） Logstash管道有两个必需的元素，输入和输出，以及一个可选元素过滤器。输入：采集各种样式、大小和来源的数据 Logstash 支持各种输入选择，同时从众多常用来源捕捉事件。能够以连续的流式传输方式，轻松地从您的日志、指标、Web 应用、数据存储以及各种 AWS

logstash配置syslog外发

奇怪的老司机

03-17

1994

需求：logstash收到的syslog日志发往elasticsearch和深信服日志审计设备。本以为直接写outside就可以解决问题，启动时报错，logstash默认情况下未安装logstash-output-syslog组件，需先安装此组件才能正确启动。syslog {facility => …host => …port => …severity => …}启动时有...

Logstash测试配置

ljw1211的博客

05-09

2303

测试Logstash是否正常安装使用本文的基础是在服务器上已经安装好了Logstash，通过以下的配置对Logstash进行测试。 Logstash的主配置文件介绍： cat /etc/logstash/logstash.yml ###文件中大部分配置均注释掉了，需要可自行配置，安装完成后，有以下两个配置： path.data: /var/lib/logstash #数据存储路径 path.logs: /var/log/logstash #日志输出路径配置Logstash vim /e

如何搭建elk logstash

02-07

### 如何设置ELK Stack中的Logstash #### 安装Java 由于Elasticsearch依赖于Java运行环境，在安装Logstash之前，先要确保服务器上已经安装了合适的Java版本。通常建议安装最新稳定版的OpenJDK或Oracle JDK。对于CentOS 7而言，可以通过以下命令来完成Java 8的安装[^3]: ```bash sudo yum install java-1.8.0-openjdk-devel ``` #### 下载并安装Logstash 官方推荐的方式是从Elastic官网下载对应的RPM包或者使用yum仓库来进行自动化部署。这里给出基于yum源的方法：更新yum库索引，并添加Elastic官方yum存储库： ```bash rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch cat << EOF | sudo tee /etc/yum.repos.d/logstash.repo [logstash-7.x] name=Elastic repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF ``` 接着执行如下指令以安装指定版本（此处假设为7.x系列）的Logstash软件包： ```bash sudo yum install logstash ``` #### 配置Logstash输入插件编辑位于`/etc/logstash/conf.d/`目录下的配置文件，定义日志收集方式。例如创建名为`01-input.conf`的新文件用于监听TCP端口上的syslog消息： ```ruby input { tcp { port => 5000 type => syslog } } ``` #### 处理与过滤数据管道继续在同一路径下建立另一个配置片段如`10-filter.conf`, 添加必要的filter规则以便清洗和转换接收到的数据流。下面的例子展示了怎样利用grok解析器拆分Apache访问记录字段： ```ruby filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } } ``` #### 输出到Elasticsearch或其他目的地最后一步是决定经过处理后的事件应该送往哪里保存。同样地，在相同位置新建一个叫做`30-output.conf` 的文档，指明目标地址以及可能存在的其他参数设定。比如向本地ES集群推送JSON格式的结果集： ```ruby output { elasticsearch { hosts => ["localhost:9200"] index => "apache-access-%{+YYYY.MM.dd}" } } ``` 启动服务并将它设成开机自启项： ```bash sudo systemctl start logstash.service sudo systemctl enable logstash.service ``` 验证整个流程是否正常工作，可通过发送测试请求至先前声明过的tcp接口处观察响应情况；也可以登录Kibana界面查看是否有新的条目被成功录入数据库内。