甘焕的博客

对于网络设备，抓取日志的最佳方式莫过于snmptrap，简单快捷、扩展丰富、解析方便，首先需要配置snmptrap插件，这是默认安全的输入插件。首先检查插件的安装情况与版本信息：# 检查安全包内是否包含此插件bin/logstash-plugin list --version|grep snmp其次编写snmp trap配置文件：input { snmptrap { #

在logstash中，配置完输入数据流后，接下来就是对数据进行解析，最简单的方法莫过于使用过滤器(filter)与grok的组合。在grok中，支持以正则表达式的方式提取所需要的信息，其中，正则表达式又分两种，一种是内置的正则表达式（可以满足我们大部分的要求），一种是自定义的正则表达式，形式分别如下：# 内置的正则表达式方式，下面的写法表示从输入的消息中提取IP字段，并命名为sip%{IP:sip

首先创建logstash配置文件（命名为syslog.conf），专门用于解析syslog日志，如下：# 监听514端口input { syslog { port => "514" }}# 输出到控制台output { stdout { codec => rubydebug }}第二步，停止本机的rsyslog(sys