Différences

Ci-dessous, les différences entre deux révisions de la page.

--- logstash [2014/04/03 11:55] – [Configuration de redis] madko
+++ logstash [2014/04/18 11:57] (Version actuelle) – [Configuration] madko
@@ Ligne 91: / Ligne 91: @@
       # Si on ne veut pas garder le message non traité
       overwrite => "message"
-      match => {
         # rsyslong envoi des messages de type : <Numero>Ligne Syslog avec le message
-        "message" => "^(?:<%{POSINT:syslog_pri}>)?%{SYSLOGBASE2} %{GREEDYDATA:message}"
+      match => {
+        "message" => [ "^(?:<%{NONNEGINT:syslog_pri}>)?%{SYSLOGBASE2} %{GREEDYDATA:message}", "^(?:<%{NONNEGINT:syslog_pri}>)(?:%{SYSLOGTIMESTAMP:timestamp}|%{TIMESTAMP_ISO8601:timestamp8601}) %{SYSLOGHOST:logsource} %{DATA:program}:%{GREEDYDATA:message}" ]
       }
       # on ajoute des tags perso, pratique pour filtrer dans l'interface kibana
@@ Ligne 151: / Ligne 151: @@
 Par défaut redis n'écoute que sur 127.0.0.1. Son fichier de configuration est /etc/redis.conf. Il faut changer la ligne bind 127.0.0.1.
+==== Configuration du logstash agent ====
+Logstash sur un noeud à monitorer est dit agent. En entrée il surveille des fichiers de logs (souvent non gérés par syslog), et en sortie envoi le résultat sur le logstash (ou broken) sur le collecteur.
+Exemple de configuration pour parser un fichier de log puppet:
+<file>
+input {
+  file {
+    path => "/var/log/puppet/puppet.log"
+    type => "puppet"
+  }
+filter {
+  if [type] == "puppet" {
+    # Ex: Tue Mar 25 18:07:07 +0100 2014 Puppet (notice): Finished catalog run in 51.85 seconds
+    mutate { replace => { "type" => "puppet" } }
+    grok {
+      overwrite => "message"
+      match => {
+        "message" => "%{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{ISO8601_TIMEZONE} %{YEAR} %{DATA:puppet_module} \(%{DATA:puppet_loglevel}): %{GREEDYDATA:message}"
+      }
+      add_tag => [ "puppet", "grokked" ]
+    }
+  }
+output {
+}
+</file>
 ==== Configuration du logstash collecteur ====