[[153718]]

之前寫了收集Linux系統(tǒng)歷史history命令，下面介紹一下系統(tǒng)里日志收集與展示的內(nèi)容。

　　老規(guī)矩，先看效果，滿意的話繼續(xù)看。

　　一、效果圖

　　1.總覽

　　2.linux系統(tǒng)日志收集數(shù)據(jù)總量

　　主要是展示所選范圍內(nèi)容收集日志總量。

　　3.linux系統(tǒng)日志收集主機數(shù)

　　主要是展示當前總共有多少臺主機上傳了message日志數(shù)據(jù)。

　　4.linux系統(tǒng)日志程序類型Top5

　　主要是展示收集的日志信息里前5個程序名；我這5個都是docker服務器，所以docker日志有很多。

　　5.linux系統(tǒng)日志時間數(shù)據(jù)總量圖

　　主要是展示每個時間段收集的數(shù)據(jù)量。

　　6.linux系統(tǒng)日志數(shù)據(jù)

　　主要是展示詳細的日志數(shù)據(jù)。

　　安裝elk的過程可以參考上一篇，地址是http://os.51cto.com/art/201510/494137.htm。

　　二、收集日志

　　我收集的是系統(tǒng)/var/log/messages日志，然后通過rsyslog的tcp 8514端口發(fā)給logstash。

　　1.配置rsyslog

　　默認rsyslog都安裝了，所以只需要修改配置。

　　在/etc/rsyslog.conf里添加：　　

*.* @@localhost:8514 

　　然后重啟rsyslog。

　　2.配置logstash

[root@puppet tmp]# cat /etc/logstash/conf.d/logstash_agent.conf  
　　input {  
　　tcp {  
　　port => "8514"  
　　type => "syslog"  
　　}  
　　} 
 
　　filter {  
　　if [type] == "syslog" {  
　　grok {  
　　match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" } 
 　　}  
　　}  
　　} 
 
　　output {  
　　redis {  
　　host => ["10.10.125.8:6379"]  
　　data_type =>"list"  
　　key => "logstash:redis"  
　　}  
　　} 

　　3.導入模板

　　導入順序：

　?。?）Linux系統(tǒng)日志試圖.json

　　（2）Linux系統(tǒng)日志搜索.json

　?。?）Linux系統(tǒng)日志Dashboard.json

　　其他的有問題可以留言。

　　本文出自 “吟—技術交流” 博客，請務必保留此出處http://dl528888.blog.51cto.com/2382721/1706204 。