Elk Elasticsearch Конфигурация logstash

Question

Я новичок в ELK. Фактически, я уже установил Logstash, elasticsearch и kibana на ubuntu 14.04. когда я пытаюсь проверить ELK с существующим файлом журнала на моем ubuntu, logstash не загружал журнал в поиск elastics и ничего не показывал. Это мой файл logstash конфигурации: Суда Gedit /etc/logstash/conf.d/logstash.conf input {

file { 
path => "/home/chayma/logs/catalina.2016-02-02.log" 
start_position => "beginning" 
} 
} 

filter { 

grok { 
match => { "message" => "%{COMMONAPACHELOG}" } 
} 
} 

output { 
elasticsearch { 
hosts => [ "127.0.0.1:9200" ] 
} 
stdout   
{ 
codec => rubydebug 
} 
} 

Однако мой elasticsearch.yml содержит:

cluster.name: my-application 

node.name: node-1 

node.master: true 

node.data: true 

index.number_of_shards: 1 

index.number_of_replicas: 0 

network.host: localhost 

http.port: 9200 

Пожалуйста, помогите

Answer 1

Я полагаю, что Logstash и Elasticsearch установлены на одном компьютере и Logstash работает?

sudo service logstash status 

Попробуйте проверить файл журнала Logstash, чтобы увидеть, если это проблема подключения или ошибка синтаксиса (конфигурации выглядит нормально, так что, вероятно, бывший):

tail -f /var/log/logstash/logstash.log 

Answer 2

ли ваш COOMONAPACHELOG соответствует шаблону журнала, вы пытаетесь разобрать с помощью GROK?

По умолчанию с пути на Ubuntu 14.04

/opt/logstash/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-2.0.5/patterns/grok-patterns 

Вы можете проверить здесь же

https://grokdebug.herokuapp.com/

ГРОК в нашем случае применения следующих регулярных выражений:

COMMONAPACHELOG %{IPORHOST:clientip} %{HTTPDUSER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-) 

Просьба указать записи журнала.

Answer 3

благодарит за отзыв, все в порядке с моими конфигурационными файлами (эластичными, логарифмическими, файловыми).

Большое спасибо.