Table of Contents
Logstash: installatie
context
dit document beschrijft de installatie van Logstash
vereisten
- Java: Java Runtime
- voeg ELK stack repository toe
installatie
- installeer logstash:
- YUM:
sudo yum install logstash
- APT:
sudo apt-get install logstash
- indien /tmp directory mount optie
noexecheeft, voer onderstaande stappen uit:- open /etc/logstash/jvm.options
- vervang
#-Djava.io.tmpdir=$HOMEdoor:-Djava.io.tmpdir=/var/lib/logstash/tmp
- maak de vermelde directory aan en stel toegangsrechten in:
mkdir /var/lib/logstash/tmp && chown logstash:logstash /var/lib/logstash/tmp && chmod -R 2777 /var/lib/logstash/tmp
- open /etc/logstash/log4j2.properties
- zet onderstaande lijnen in commentaar (#):
rootLogger.appenderRef.console.ref = ${sys:ls.log.format}_console logger.slowlog.appenderRef.console_slowlog.ref = ${sys:ls.log.format}_console_slowlog
- activeer logstash @bootup:
sudo systemctl enable logstash
- start logstash:
sudo systemctl start logstash
- open /var/log/logstash/logstash-plain.log:
Gezien er nog geen config bestand bestaat, wordt logstash endpoint gestart en daarna terug afgesloten. Dit is NIET de service zelf
testen
- voer een eerste pipeline uit waarmee je een tekstboodschap naar output stuurt:
cd /usr/share/logstash/bin sudo ./logstash -e 'input { stdin { } } output { stdout {} }' <type een willekeurige tekst en sluit af met ctrl,D> - je kan ook de data naar je elasticsearch sturen:
./logstash -e 'input { stdin { } } output { elasticsearch { hosts => ["<IP/Hostname>"] } }'
- controleer het resultaat in elasticsearch:
curl http://elk:9200/logstash-*/_search - met jq kan je het JSON-bestand proper weergeven:
curl http://elk:9200/logstash-*/_search|jq .
configuratie
Ga nu verder met de logstash_configuratie
meer info
voeg hier linken toe naar verdere uitleg