В настоящее время я создаю централизованную настройку ведения журнала, используя logstash и kibana. Я успешно установил сервер, но в настоящее время застрял со следующей проблемой.
Все мои конфигурации, кажется, в порядке,
root@centralizedlogging-421413:/opt/logstash/bin# ./logstash --configtest -f /etc/logstash/conf.d/01-lumberjack-input.conf
Using milestone 1 input plugin 'lumberjack'. This plugin should work, but would benefit from use by folks like you. Please let us know if you find bugs or have suggestions on how to improve this plugin. For more information on plugin milestones, see http://logstash.net/docs/1.4.2-modified/plugin-milestones {:level=>:warn}
Configuration OK
root@centralizedlogging-421413:/opt/logstash/bin# ./logstash --configtest -f /etc/logstash/conf.d/10-syslog.conf
Using milestone 1 filter plugin 'syslog_pri'. This plugin should work, but would benefit from use by folks like you. Please let us know if you find bugs or have suggestions on how to improve this plugin. For more information on plugin milestones, see http://logstash.net/docs/1.4.2-modified/plugin-milestones {:level=>:warn}
Configuration OK
root@centralizedlogging-421413:/opt/logstash/bin# ./logstash --configtest -f /etc/logstash/conf.d/30-lumberjack-output.conf
Configuration OK
Но все же мой logstash.log выдает следующую ошибку:
{:timestamp=>"2014-12-08T09:25:43.250000+0000", :message=>"Ошибка: ожидается одно из #, ввод, фильтр, вывод в строке 29, столбце 1 (байт 734) после "} { :timestamp=>"2014-12-08T09:25:43.260000+0000", :message=>"Вас может заинтересовать флаг '--configtest', который вы можете\nиспользовать для проверки конфигурации logstash, прежде чем выбрать\nперезагрузку работающая система."}
Не уверен, откуда эта ошибка срабатывает.
Вот входные файлы,
01-lumberjack-input.conf
input {
lumberjack {
port => 5000
type => "logs"
ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt"
ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
}
}
10-syslog.conf
filter {
if [type] == "syslog" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
}
syslog_pri { }
date {
match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ]
}
}
}
30-lumberjack-output.conf
output {
elasticsearch { host => localhost }
stdout { codec => rubydebug }
}
Любая помощь будет оценена.
--debug
, чтобы получить дополнительную информацию о том, какие файлы конфигурации пытается прочитать Logstash. - person Magnus Bäck   schedule 09.12.2014