====== Logstash: installatie======
[[elk_stack:elk_stack|{{ :elk_stack:icon.jpg?120|}}]]
===== context=====
dit document beschrijft de installatie van Logstash

===== vereisten =====
  - Java: [[linux:java_runtime|Java Runtime]]
  - voeg [[elk_stack:repository|ELK stack repository]] toe
  - [[linux:jq|jq]]
===== installatie=====
  - installeer logstash: 
    - YUM: <code>sudo yum install logstash</code>
    - APT: <code>sudo apt-get install logstash</code>
  - indien /tmp directory mount optie ''noexec'' heeft, voer onderstaande stappen uit: 
    - open /etc/logstash/jvm.options 
    - vervang 
      - ''#-Djava.io.tmpdir=$HOME'' door: 
      - ''-Djava.io.tmpdir=/var/lib/logstash/tmp''
    - maak de vermelde directory aan en stel toegangsrechten in: <code>
mkdir /var/lib/logstash/tmp && chown logstash:logstash /var/lib/logstash/tmp && chmod -R 2777 /var/lib/logstash/tmp</code>
  - open /etc/logstash/log4j2.properties
    - zet onderstaande lijnen in commentaar (#): <code>
rootLogger.appenderRef.console.ref = ${sys:ls.log.format}_console
logger.slowlog.appenderRef.console_slowlog.ref = ${sys:ls.log.format}_console_slowlog</code>
  - activeer logstash @bootup: <code>sudo systemctl enable logstash </code>
  - start logstash: <code>sudo systemctl start logstash</code>
  - open /var/log/logstash/logstash-plain.log:{{ :elk_stack:logstashlogfile.png |}} Gezien er nog geen config bestand bestaat, wordt logstash endpoint gestart en daarna terug afgesloten. Dit is NIET de service zelf

===== testen =====
  * voer een eerste pipeline uit waarmee je een tekstboodschap naar output stuurt: <code>cd /usr/share/logstash/bin
sudo ./logstash -e 'input { stdin { } } output { stdout {} }' 
<type een willekeurige tekst en sluit af met ctrl,D>
</code>
  * je kan ook de data naar je elasticsearch sturen:<code>./logstash -e 'input { stdin { } } output { elasticsearch { hosts => ["<IP/Hostname>"] } }'</code>{{ :elk_stack:logstash_demo.png?400 |}}
  * controleer het resultaat in elasticsearch: ''curl http://elk:9200/logstash-*/_search''
  * met [[linux:jq|jq]] kan je het JSON-bestand proper weergeven:''curl http://elk:9200/logstash-*/_search|jq .''

===== configuratie=====
Ga nu verder met de [[elk_stack:logstash_configuratie|logstash_configuratie]]

===== meer info =====
voeg hier linken toe naar verdere uitleg
{{tag>elk_stack logstash installatie}}