麋鹿Elasticsearch logstash配置

Question

我是新来的麋鹿。实际上，我已经在ubuntu 14.04上安装了Logstash，elasticsearch和kibana。当我尝试使用我的ubuntu上的现有日志文件测试ELK时，logstash不会将日志加载到elasticsearch中并且不显示任何内容。这是我logstash配置文件：须藤gedit中/etc/logstash/conf.d/logstash.conf input {

file { 
path => "/home/chayma/logs/catalina.2016-02-02.log" 
start_position => "beginning" 
} 
} 

filter { 

grok { 
match => { "message" => "%{COMMONAPACHELOG}" } 
} 
} 

output { 
elasticsearch { 
hosts => [ "127.0.0.1:9200" ] 
} 
stdout   
{ 
codec => rubydebug 
} 
} 

但是，我elasticsearch.yml包含：

cluster.name: my-application 

node.name: node-1 

node.master: true 

node.data: true 

index.number_of_shards: 1 

index.number_of_replicas: 0 

network.host: localhost 

http.port: 9200 

请帮

Answer 1

我认为Logstash和Elasticsearch安装在同一台机器上，并且Logstash正在运行？

sudo service logstash status 

尝试检查Logstash日志文件，看它是否是一个连接问题或语法错误（配置看起来不错，所以很可能是前者）：

tail -f /var/log/logstash/logstash.log 

Answer 2

请问您COOMONAPACHELOG日志模式匹配你正试图用GROK解析？

通过从路径默认在Ubuntu 14.04

/opt/logstash/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-2.0.5/patterns/grok-patterns 

可以验证同样在这里

https://grokdebug.herokuapp.com/

在我们的情况下，神交是运用以下的正则表达式：

COMMONAPACHELOG %{IPORHOST:clientip} %{HTTPDUSER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-) 

请提供日志条目。

Answer 3

感谢您的回复，一切都很好，我的配置文件（弹性，logstash，filebeat）。

非常感谢。