elasticsearch 配置麋鹿&x2B;log4j,elasticsearch,log4j,logstash,jboss-4.0.x,elasticsearch,Log4j,Logstash,Jboss 4.0.x" /> elasticsearch 配置麋鹿&x2B;log4j,elasticsearch,log4j,logstash,jboss-4.0.x,elasticsearch,Log4j,Logstash,Jboss 4.0.x" />

elasticsearch 配置麋鹿&x2B;log4j

elasticsearch 配置麋鹿&x2B;log4j,elasticsearch,log4j,logstash,jboss-4.0.x,elasticsearch,Log4j,Logstash,Jboss 4.0.x,我在ubuntu服务器14.04上安装了ELK。现在我想把我所有的jboss服务器日志(使用log4j)发送到这里 日志存储配置: 输入配置文件: input { log4j { type => "log4j" port => 5000 } } filter { if [type] == "log4j" { grok { match => {"message" => MY_G

我在ubuntu服务器14.04上安装了ELK。现在我想把我所有的jboss服务器日志(使用log4j)发送到这里

日志存储配置: 输入配置文件:

input {
    log4j {
        type => "log4j"
        port => 5000
    }
}
filter {
    if [type] == "log4j" {
        grok {
            match => {"message" => MY_GROK_PARSE}
        }
    }
}
筛选器配置文件:

input {
    log4j {
        type => "log4j"
        port => 5000
    }
}
filter {
    if [type] == "log4j" {
        grok {
            match => {"message" => MY_GROK_PARSE}
        }
    }
}
和输出文件:

output {
    elasticsearch {
        embedded => true
    }
}
要完成log4j appender,请执行以下操作:


但这种配置不会发生任何变化。所以我不知道我误解了什么。 我的其他appender(控制台和本地文件)工作正常。 elasticsearch日志显示任何信息/活动

编辑: 关于我的jboss-log4j.xml的更多信息:


我知道这是一篇老文章,但有人可能会发现它很有用-log4j SocketAppender无法使用布局,请参阅

插座附件不使用布局。它们将序列化的LoggingEvent对象发送到服务器端

在logstash配置中也不需要额外的过滤器。Logstash log4j插件的最小配置就足够了

input {
   log4j {
      data_timeout => 5
      host => "0.0.0.0"
      mode => "server"
      port => 4560
      debug => true
      type => "log4j"
   }
   ... 
}

我知道这是一篇老文章,但有人可能会发现它很有用-log4j SocketAppender无法使用布局,请参阅

插座附件不使用布局。它们将序列化的LoggingEvent对象发送到服务器端

在logstash配置中也不需要额外的过滤器。Logstash log4j插件的最小配置就足够了

input {
   log4j {
      data_timeout => 5
      host => "0.0.0.0"
      mode => "server"
      port => 4560
      debug => true
      type => "log4j"
   }
   ... 
}

在这种情况下,您可以直接将其发送到Elastic。没有理由先通过LogStash。您可以轻松地使用过滤器过滤掉您不感兴趣的消息

如果你想用的话,我已经在这里写了这个附录。它能够根据时间和/或事件数缓冲日志事件,然后再将其发送到Elastic(使用_BulkAPI以便一次性发送)。
它已经发布到Maven Central,因此非常简单。

在这种情况下,您可以直接将其发送到Elastic。没有理由先通过LogStash。您可以轻松地使用过滤器过滤掉您不感兴趣的消息

如果你想用的话,我已经在这里写了这个附录。它能够根据时间和/或事件数缓冲日志事件,然后再将其发送到Elastic(使用_BulkAPI以便一次性发送)。
它已经发布到Maven Central,因此非常简单。

您是否确认Logstash确实收到了任何信息(您可以使用TCP流量嗅探器进行检查)?如果用一个简单的
stdout
输出替换
elasticsearch
输出以减少运动部件的数量,会怎么样?我照你说的做了。因此,对于TCP流量,我在端口5000上使用了“sniffit”,这没有显示任何内容。。。(使用sniffit可以吗?)。您如何在记录器配置中引用LOGSTASH appender?是的,我在帖子中添加了一部分log4j xml来向您展示。我已经关闭了防火墙。你确认Logstash确实收到了任何东西吗(你可以用TCP流量嗅探器检查)?如果用一个简单的
stdout
输出替换
elasticsearch
输出以减少运动部件的数量,会怎么样?我照你说的做了。因此,对于TCP流量,我在端口5000上使用了“sniffit”,这没有显示任何内容。。。(使用sniffit可以吗?)。您如何在记录器配置中引用LOGSTASH appender?是的,我在帖子中添加了一部分log4j xml来向您展示。我已经关闭了防火墙。