Как получить логи с Mikrotik на Logstash?

Question

[Альберт Крожежепицкай]

Поделитесь пожалуйста рабочим конфигом приема логов в logstash ( с отправкой в elasticsearch).

Answer 1

[Альберт Крожежепицкай]

#tcp syslog stream via 5140
input {
tcp {
type => "syslog"
port => 5140
}
}
#udp syslogs tream via 5140
input {
udp {
type => "syslog"
port => 5140
}
}

filter {
if [type] == "syslog" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDY$
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
}
syslog_pri { }
date {
match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ]
}
}
}

output {
elasticsearch { host => localhost }
stdout { codec => rubydebug }
}

Comments

[Wolf KTL]

рабочий?

[Il-DA-R]

Если написать строчку:
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDY$
у себя в фильтре как:
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
то рабочий

Answer 2

[Vladimir Zp]

Подробно по шагам про сбор логов микротик в elk stack расписано вот тут - https://serveradmin.ru/tsentralizovannyiy-sbor-log...
Понимаю, что давно не актуально, но это для тех, кто из поиска сюда придет. В гугле в выдаче сверху этот вопрос.