Différences

Ci-dessous, les différences entre deux révisions de la page.

--- logstash [2014/03/27 09:36] – [Installation des paquets] madko
+++ logstash [2014/04/18 11:57] (Version actuelle) – [Configuration] madko
@@ Ligne 29: / Ligne 29: @@
-[elasticsearch-1.0]\\
+<file>
-name=Elasticsearch repository for 1.0.x packages\\
+[elasticsearch-1.1]
-baseurl=http://packages.elasticsearch.org/elasticsearch/1.0/centos\\
+name=Elasticsearch repository for 1.1.x packages
-gpgcheck=1\\
+baseurl=http://packages.elasticsearch.org/elasticsearch/1.1/centos
-gpgkey=http://packages.elasticsearch.org/GPG-KEY-elasticsearch\\
+gpgcheck=1
+gpgkey=http://packages.elasticsearch.org/GPG-KEY-elasticsearch
 enabled=1
+</file>
 Fichier<font 13px/arial;;#000000;;#ffffff>de configuration du</font> dépôt<font 13px/arial;;#000000;;#ffffff>pour</font> elasticsearch<font 13px/arial;;#000000;;#ffffff></font> dans<font 13px/arial;;#000000;;#ffffff>/etc/yum.repos.d/elasticsearch.repo:</font>
-[logstash-1.3]\\
+<file>
-name=logstash repository for 1.3.x packages\\
+[logstash-1.4]
-baseurl=http://packages.elasticsearch.org/logstash/1.3/centos\\
+name=logstash repository for 1.4.x packages
-gpgcheck=1\\
+baseurl=http://packages.elasticsearch.org/logstash/1.4/centos
-gpgkey=http://packages.elasticsearch.org/GPG-KEY-elasticsearch\\
+gpgcheck=1
+gpgkey=http://packages.elasticsearch.org/GPG-KEY-elasticsearch
 enabled=1
+</file>
 ==== Installation des paquets ====
@@ Ligne 54: / Ligne 57: @@
+<code>
 yum install elasticsearch
+</code>
@@ Ligne 60: / Ligne 65: @@
+<code>
 yum install logstash
+</code>
 ==== Configuration ====
-input {\\
+<file>
-syslog {\\
+# Ouverture en entrée d'un port d'écoute utilisant le protocol syslog
-  type => syslog\\
+input {
-  port => 5544\\
+  tcp {
-  codec => plain { charset => "UTF-8" }\\
+    port => 5544
-}\\
+    type => syslog
+  }
+  udp {
+    port => 5544
+    type => syslog
+  }
 }
+filter {
+  # Traitement type syslog, le type étant marqué sur les données entrant par nos ports de type syslog
+  if [type] == "syslog" {
+    grok {
+      # Si on ne veut pas garder le message non traité
+      overwrite => "message"
+        # rsyslong envoi des messages de type : <Numero>Ligne Syslog avec le message
+      match => {
+        "message" => [ "^(?:<%{NONNEGINT:syslog_pri}>)?%{SYSLOGBASE2} %{GREEDYDATA:message}", "^(?:<%{NONNEGINT:syslog_pri}>)(?:%{SYSLOGTIMESTAMP:timestamp}|%{TIMESTAMP_ISO8601:timestamp8601}) %{SYSLOGHOST:logsource} %{DATA:program}:%{GREEDYDATA:message}" ]
+      }
+      # on ajoute des tags perso, pratique pour filtrer dans l'interface kibana
+      add_tag => [ "syslog", "grokked" ]
+    }
+    # On ignore le champ syslog_pri
+    syslog_pri { }
-filter {\\
+    # on crée une colonne hostip avec le contenu de la variable host
-if [type] == "syslog" {\\
+    mutate {
-  grok {\\
+      add_field => [ "hostip", "%{host}" ]
-    overwrite => "message"\\
+    }
-    match => {\\
-      "message" => "^(?:<%{POSINT:syslog_pri}>)?%{SYSLOGTIMESTAMP:timestamp} %{IPORHOST:host} (?:%{PROG:program}(?:%%\%%[%{POSINT:pid}%%\%%])?: )?%{GREEDYDATA:message}"\\
-    }\\
-  }\\
-  syslog_pri { }\\
-  date {\\
-    # season to taste for your own syslog format(s)\\
-    match => [ "timestamp",  "MMM  d HH:mm:ss", "MMM dd HH:mm:ss", "ISO8601" ]\\
-  }\\
-}\\
-mutate {\\
-  add_field => [ "hostip", "%{host}" ]\\
-}\\
-dns {\\
-  reverse => [ "host" ]\\
-  action => "replace"\\
-}
+    # on resoud l'ip présent dans la colonne host
+    dns {
+      reverse => [ "host" ]
+      action => "replace"
+    }
+  }
+}
-if [type] == "postfix" {\\
+# on stock dans elasticsearch
-  grok {\\
+output {
-    match => [ "message", "%SYSLOGBASE" ]\\
+  elasticsearch {
-    add_tag => [ "postfix", "grokked" ]\\
+    host => "localhost"
-  }\\
+  }
-}\\
 }
+</file>
+===== Architecture avec broker =====
+Le broker va servir de cache pour la reception des logs. Cela améliore les performances de logstash et permet d'éviter de perdre certains logs en cas de soucis. Mais le principal intérêt est de pouvoir utiliser l'agent logstash sur les clients pour envoyer des évènements qui ne seraient pas gérés par rsyslog.
+En gros l'agent logstash envoi ces données préparsées dans la base du broker. Ensuite le logstash sur le collecteur lit régulièrement le broker pour voir si des évènements sont arrivés. Il les supprime du broker et les traite.
+Logstash agent => Broker (sur collecteur) <= logstash serveur
+Il est possible d'utiliser "redis" comme broker en frontal de logstash.
+==== Installation de redis ====
+Le paquet redis est dispo dans le dépôt EPEL.
+<code>
+yum install redis
+</code>
+==== Configuration de redis ====
+Par défaut redis n'écoute que sur 127.0.0.1. Son fichier de configuration est /etc/redis.conf. Il faut changer la ligne bind 127.0.0.1.
+==== Configuration du logstash agent ====
+Logstash sur un noeud à monitorer est dit agent. En entrée il surveille des fichiers de logs (souvent non gérés par syslog), et en sortie envoi le résultat sur le logstash (ou broken) sur le collecteur.
+Exemple de configuration pour parser un fichier de log puppet:
+<file>
+input {
+  file {
+    path => "/var/log/puppet/puppet.log"
+    type => "puppet"
+  }
+filter {
+  if [type] == "puppet" {
+    # Ex: Tue Mar 25 18:07:07 +0100 2014 Puppet (notice): Finished catalog run in 51.85 seconds
+    mutate { replace => { "type" => "puppet" } }
+    grok {
+      overwrite => "message"
+      match => {
+        "message" => "%{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{ISO8601_TIMEZONE} %{YEAR} %{DATA:puppet_module} \(%{DATA:puppet_loglevel}): %{GREEDYDATA:message}"
+      }
+      add_tag => [ "puppet", "grokked" ]
+    }
+  }
+output {
-output {\\
-elasticsearch {\\
-  host => "localhost"\\
-}\\
 }
+</file>
+==== Configuration du logstash collecteur ====
+Le serveur logstash centralisant les logs a juste besoin d'une nouvelle entrée lui indiquant qu'il doit passer par un broker de type redis, en lui précisant son adresse:
+CONF ICI