2. Om
● Tar i mot logger (eller leser logger), manipulerer de og sender de videre
● Config: /etc/logstash/conf.d/*
● Mer defaults og config: /etc/default/logstash
● Logs: /var/log/logstash/*
● Filer: installert under /opt/logstash
● Restart/stop/start/status: sudo systemctl restart/stop/start/status logstash
● Java basert
● Kjører med 1 gb ram.. Om den dør så er det sikkert minnet som må utvides..
Utvid til mer i /etc/default/logstash
3. Logstash - config
● Støtter if else etc…
● { } for å starte og stoppe en i en if, else, plugin etc bolk med kode
● # for å kommentere ut noe
4. Logstash - plugins
● Input - Ting som kommer inn.. Har masse plugins for å ta i mot ting. F.eks fil,
syslog, beats
● Filters - Maninpulerer data basert på innholdet.. Grok fileret er helt klart mest
brukt
● Codex - Endrer data’ene. F.eks pakker opp filer etc
● Output - Sender ting videre.. F.eks fil, elasticsearch, statsd, graphite, null
● Man kan installere plugins for flere input/filter/output/codex med
/opt/logstash/bin/logstash-plugin
5. Logstash - eksempel
input {
beats {
port => 5045
type => "beats"
}}
output {
if [type] == "beats" {
file {
path => "/tmp/beats.log"
}}
6. Logstash - tips
● sudo /opt/logstash/bin/logstash --configtest -f /etc/logstash/conf.d for å teste
config’en før restart
● Sjekk loggen etter at man har restartet for å se at alt funker…