第一步:启动Es集群和head插件
需要把LogStash获取到的日志信息放到ElasticSearch中
第二步:从本地获取一个日志文件
我这里获取到的是Tomcat的日志文件
并且把后缀名改成.log
第三步:将本地日志文件放入linux主机的目录
/usr/local/logs/
第四步:自己创建一个配置文件
在Myconf下创建一个hello.conf并且写入配置
配置内容如下:
path是自己存放日志文件的路径
hosts是自己集群机器的IP 我一共有三台机器
index是在ES上创建的索引库名字
input{
file{
path=> "/usr/local/logs/*.log"
start_position=> beginning
ignore_older=> 0
}
}
filter{
grok{
match=>{"message"=> "%{COMBINEDAPACHELOG}"}
}
}
output{
elasticsearch{
hosts=> ["192.168.208.4:9200","192.168.208.5:9200","192.168.208.6:9200"]
index=>"logstash_index"
}
}
第五步:运行命令 回到bin下
./logstash -f ../myconf/hello.conf
用head插件去链接ES 最终结果如下:
数据成功展示在索引库!