Logstash输入文件节拍_Logstash_Syslog_Logstash Configuration_Elastic Stack_Filebeat

Logstash输入文件节拍

logstash

Logstash输入文件节拍,logstash,syslog,logstash-configuration,elastic-stack,filebeat,Logstash,Syslog,Logstash Configuration,Elastic Stack,Filebeat,首先，我为我的英语道歉我在一家公司实习，我用Filebeat提供了一个解决方案ELK来发送日志问题在于，一旦恢复syslog\u pri，就会始终显示通知和严重性\u代码5 以下是我的配置：日志存储输入： input { beats { port => 5044 type => "logs" #ssl => true #ssl_certificate => "/etc/pki/tls/certs/logstash-forwarde

首先，我为我的英语道歉

我在一家公司实习，我用Filebeat提供了一个解决方案ELK来发送日志

问题在于，一旦恢复syslog\u pri，就会始终显示通知和严重性\u代码5

以下是我的配置：

日志存储输入：

input {
  beats {
    port => 5044
    type => "logs"
    #ssl => true
    #ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt"
    #ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
  }
}

我的过滤器：

filter {
  if [type] == "syslog" {
    grok {
      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
      add_field => [ "received_at", "%{@timestamp}" ]
      add_field => [ "received_from", "%{host}" ]
    }
    syslog_pri {
    syslog_pri_field_name => "syslog_pri"
    }
    geoip {
      source => "ip"
    }
    date {
      match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
    }
  }
}

我收到的日志如下：

{
  "_index": "logstash-2016.01.27",
  "_type": "log",
  "_id": "AVKDkbeIo9FUMGLWSx1L",
  "_score": null,
  "_source": {
    "message": "2016-01-27T15:52:20.979+0100 WARN  [HeartbeatService RUNNING] collector.heartbeat.HeartbeatService - Unable to send heartbeat to Graylog server: ConnectException: Connection refused",
    "@version": "1",
    "@timestamp": "2016-01-27T14:52:21.896Z",
    "beat": {
      "hostname": "LABSRVITT003",
      "name": "LABSRVITT003"
    },
    "count": 1,
    "fields": null,
    "input_type": "log",
    "offset": 28494893,
    "source": "/var/log/graylog-collector/collector.log",
    "type": "log",
    "host": "LABSRVITT003",
    "tags": [
      "gpf_relp"
    ],
    "syslog_severity_code": 5,
    "syslog_facility_code": 1,
    "syslog_facility": "user-level",
    "syslog_severity": "notice"
  },
  "fields": {
    "@timestamp": [
      1453906341896
    ]
  },
  "sort": [
    1453906341896
  ]
}

我之所以发布这篇文章，是因为我真的缺乏想法。我浏览了文档，但什么也没找到

此链接：

[ 这个人也有同样的问题，他成功了

因此，如果有人有想法，请分享

谢谢

我没有syslog\u pri的经验，但似乎另一个人有一个字段

syslog5424\u pri

，具有优先级值。您提供了一个字段名

syslog\u pri

，但记录中根本不存在。我看到的是：

"syslog_severity_code": 5,
"syslog_facility_code": 1,
"syslog_facility": "user-level",
"syslog_severity": "notice"

因此，如果您认识到其中一个是优先级字段，那么我建议更改syslog_pri插件配置，或者如果这些字段都不是优先级字段，那么您首先需要创建它。

同样，我没有syslog的经验，我只是看了看你的问题和他的解决方案。

我也有类似的问题，我可以通过Beats将文件输入LogStash，但它不会拾取我的任何fields.Tag或我在每个prospector中放入的任何内容。