logstash配置--syslog

syslog 可能是运维领域最流行的数据传输协议了。当你想从设备上收集系统日志的时候，syslog 应该会是你的第一选择。尤其是网络设备，比如思科 —— syslog 几乎是唯一可行的办法。

我们这里不解释如何配置你的syslogconf,rsyslogconf或者syslog-ngconf来发送数据，而只讲如何把 logstash 配置成一个 syslog 服务器来接收数据。

配置示例

运行结果

作为最简单的测试，我们先暂停一下本机的syslogd(或rsyslogd)进程，然后启动 logstash 进程（这样就不会有端口冲突问题）。现在，本机的 syslog 就会默认发送到 logstash 里了。我们可以用自带的logger命令行工具发送一条 "Hello World"信息到 syslog 里（即 logstash 里）。看到的 logstash 输出像下面这样：

想不同IP的日志放在不同的文件夹内，是,,,,,,暂时不行的。

出现这个对话框的意义在于，

ANYBODY是接受所有机器的文件日志

JUST THE IP ADD I SP是只接受你在下面列表中列出的IP的日志记录请求。

这个对话框告诉你：你需要在 ENTER IP ADDRESSES BELOW下面，填写上您需要记录的设备的IP。

在Log File Destinations选项卡里，可以选择最后一项，按照IP地址命名LOG文件名，这样您就能分清楚是哪台设备的LOG，至于前面几个选项可以翻译一下，单词都不是太难。

希望帮到。

syslog 不只是开启了这个命令就可以使用了，一般需要有一个日志服务器，需要这个服务器的IP地址，而且不同的设备其它功能，命令也有所不同，下面给你二个例子参考吧。

H3C syslog配置

S8016的配置( VRP(R) Software, Version 310(NSSA), RELEASE 5331)

S8016 新命令行设置日志服务器 info-center enable //打开信息中心

inf-center loghost host-ip-addr channel 2 facility local-number 设置日志主机的IP地址 info-center logging host host-ip-addr 设置日志主机的信息通道

info-center host host-ip-addr channel {channel-number|channel-name} 设置日志主记录工具

set logging host host-ip-addr facility local-number 取消向日志主机输出信息

undo info-center loghost host-ip-addr

S3026配置(VRP (tm) Software, Version 310)

logging on set logging host 133332 channel 2 language chinese facility local1