2、ELK客户端配置
即129这个服务器
rsyslog.conf
启动ELK服务
rsyslog客户端配置即131这个服务器
sudo vim /etc/rsyslog.conf
找到下边的一段,去掉注释:
# provides UDP syslog reception # module(load="imudp") # input(type="imudp" port="5514") # provides TCP syslog reception # module(load="imtcp") # input(type="imtcp" port="5514")如下:
# provides UDP syslog reception module(load="imudp") input(type="imudp" port="5514") # provides TCP syslog reception module(load="imtcp") input(type="imtcp" port="5514")最后添加一行(elk所在机器的ip和监听的端口)
*.* @192.168.197.129:5514重启rsyslog服务
sudo service rsyslog restart
测试在rsyslog所在客户端执行
logger -p info “hello, remote rsyslog”
部署ELK的服务器终端查看Elasticsearch的输出
kibana的web展示界面可以看到
当然我们也可以执行一些其他的命令
ssh localhost
输入正确的密码,在终端可以监测到:
ssh localhost 输入错误的密码:
根据这种情况我们就可以针对登录日志做出相应的分析
这里的logstash中的rsyslog.conf文件也可以这样写
input { syslog{ port => 5514 type => syslog } } output { stdout { codec=> rubydebug } elasticsearch { hosts => ["192.168.197.129:9200"] } }这个时候在rsyslog的服务器中执行
logger -p info “hello, remote rsyslog”
--------------------------------------分割线 --------------------------------------
CentOS 6.3下利用Rsyslog+LogAnalyzer+MySQL部署日志服务器
使用rsyslog mysql 和logAnalyzer 的日志服务器
RHEL5.4部署中央日志服务器之rsyslog+loganalyzer
--------------------------------------分割线 --------------------------------------