Как настроить сбор Syslog логов при помощи Elasticsearch+Kibana+Logstash?

Question

[Дмитрий Лебедев]

Здравствуйте.

Подскажите, как настроить сбор Syslog логов с железок на Elasticsearch+Kibana+Logstash (ELK).
Железки Zyxel Zywall, Eltex Tau и CentOS сервера.

Настройку сервера делал по данной статье https://www.digitalocean.com/community/tutorials/h...
И
https://blog.devita.co/2014/09/04/monitoring-pfsen...

Отправка логов с Zyxel идет по 514 порту.
Вывод логов такого формата

02-17-2015	15:29:07	Local1.Info	192.168.91.254	Feb 17 15:29:09 zywall-zw1100 CEF:0|ZyXEL|ZyWALL 1100||0|IKE|4|src=xxx.xxx.xxx.xxxdst=xx.xx.xx.xxspt=500 dpt=500 msg=Recv:[HASH][NOTIFY:R_U_THERE_ACK]

Но логи так и не приходят. Посмотрел логи, вроде все нормально. Куда копать дальше не знаю.
Отключил FirewallD и Selinux поставил SELINUX=permissive.
На вебинтерфейс успешно захожу.
Собственно сами конфиги для logstash
pastebin.com/wJYdNefH 01-inputs.conf
pastebin.com/CtevsM1T logstash.conf
pastebin.com/9aBPVzfL 10-syslog.conf
pastebin.com/ZaJqrcF9 30-outputs.conf

Кстати в htop я не вижу процесса logstash, так и должно быть?

Answer 1

[Александр]

logstash должен быть :) кто же вам будет поставлять распарсенные логи в эластиксерч? попробуйте добавить при запуске логстеша -v посмотрите что в выводе консоли будет

Comments

[Александр]

И где у вас фильтры и правила парсинга приходящих запросов sysloga? www.logstash.net/docs/1.4.2/inputs/syslog

[Александр]

Вы должны понимать как работает данная связка - логстэш у вас работает фильтром много чего - в данном случае выступает агригационным сервером сислога - получает стандартизированные пакета, парсит их согласно правилам и плюет результатом парсинга в эластиксерч.

[Дмитрий Лебедев]

Посмотрел, Logstash стартует, повисит ЦП под 100% загоняет и закрывается. Длится это секунд 30.
В var/log/logstash.err ничего нет, а в logstash.log есть следующее

{:timestamp=>"2015-02-17T16:26:44.496000+0700", :message=>"Error: Expected one of #, => at line 129, column 17 (by$
{:timestamp=>"2015-02-17T16:26:44.504000+0700", :message=>"You may be interested in the '--configtest' flag which $

Как эта связка работает я уже понял.
У меня просто непонятки с конфигом на Syslog.

curl http://localhost:9200
{
  "status" : 200,
  "name" : "Silver Dagger",
  "cluster_name" : "elasticsearch",
  "version" : {
    "number" : "1.4.3",
    "build_hash" : "36a29a7144cfde87a960ba039091d40856fcb9af",
    "build_timestamp" : "2015-02-11T14:23:15Z",
    "build_snapshot" : false,
    "lucene_version" : "4.10.3"
  },
  "tagline" : "You Know, for Search"
}

Но при попытке
[root@centi]/opt/logstash/bin# java -jar logstash.jar agent --configtest --config logstash.conf
Error: Unable to access jarfile logstash.jar

[Александр]

какая версия логстеша установлена?
ls -lah /opt/logstash/bin
rpm -qi logstash
запуск крайней версии происходит без указания для ява машины
www.logstash.net/docs/1.4.2/tutorials/10-minute-wa...

[Дмитрий Лебедев]

SashaSkot:

~logstash|⇒ sudo bin/logstash -f /etc/logstash/conf.d/10-syslog.conf 
Using milestone 2 input plugin 'tcp'. This plugin should be stable, but if you see strange behavior, please let us know! For more information on plugin milestones, see http://logstash.net/docs/1.4.2-modified/plugin-milestones {:level=>:warn}
Using milestone 2 input plugin 'udp'. This plugin should be stable, but if you see strange behavior, please let us know! For more information on plugin milestones, see http://logstash.net/docs/1.4.2-modified/plugin-milestones {:level=>:warn}
Could not start TCP server: Address in use {:host=>"0.0.0.0", :port=>514, :level=>:error}
+---------------------------------------------------------+
| An unexpected error occurred. This is probably a bug.   |
| You can find help with this problem in a few places:    |
|                                                         |
| * chat: #logstash IRC channel on freenode irc.          |
|     IRC via the web: http://goo.gl/TI4Ro                |
| * email: logstash-users@googlegroups.com                |
| * bug system: https://logstash.jira.com/                |
|                                                         |
+---------------------------------------------------------+
The error reported is: 
  Address already in use - bind - Адрес уже используется

Посмотрел по ошибкам: stackoverflow.com/questions/27829354/an-unexpected... тут советуют сменить порт.

[Дмитрий Лебедев]

SashaSkot: и правда ошибка в порте была. Взял конфиг отсюда logstash.net/docs/1.4.2/tutorials/getting-started-... для Syslog запустил конфиг syslog 10-syslog.conf с bin/logstash -f, подключился через telnet к серверу по порту 5000 и все заработало :)
Получается logstash не хочет работать с основными портами (22, 514 и т.д)?

[Александр]

Так если они у вас заняты - как он на них забиндится?
netstat -talnp | grep ":22\|:514"

на 22 висит ссш, на 514 демон syslog