Как прикрутить логгирование cisco к Logstash?

Question

[csergey]

С logstash плохо знаком. Поднял стек Logstash+Elasticsearch+Kibana
есть конфиг
root@logserver:~# cat /etc/logstash/conf.d/10-syslog.conf
input {
tcp {
port => 514
type => syslog
}
udp {
port => 514
type => syslog
}
}

filter {
if [type] == "syslog" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
}
syslog_pri { }
date {
match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ]
}
}
}
На циске :
logging facility local6
logging host LOGSTASHSERVER_IP

Но пока тихо в Kibana

Answer 1

[brutal_lobster]

Причин может быть много - начиная с того, что в конфиге не указан output - elasticearch, заканчивая тем, что es не может распарсить какое-нибудь поле (timestamp, например).
Ну и неплохо бы убедится, что сислог доходит до сервера :)

В любом случае - необходимо сначала включить логирование logstash и elasticsearch и попытаться отладить фильтр с output stdout, например.

+ посмотрите на grokdebug.herokuapp.com

Answer 2

[Анатолий Ивашина]

Со стороны Logstash, скорее всего нет прав использовать порт 514, попробуйте изменить на любой другой, например 5140, или запускайте демон logstash от имени пользователя root.