Syslog日志集成搭建

Turboex邮件分享2025-10-04 23:32

搭建一个完整的 syslog → Filebeat → Elasticsearch → Kibana 测试环境,详细的分步骤配置手册 ,包括 Linux (Filebeat)Windows (Elasticsearch + Kibana) 的安装和配置。

部署架构

  • Filebeat :运行在 Linux 服务器 192.168.0.83,采集 syslog。

  • Elasticsearch + Kibana :运行在 Windows 服务器 192.168.0.100,负责存储日志和可视化。

  • syslog 流程

    syslog 设备/服务 → Filebeat (192.168.0.83) → Elasticsearch (192.168.0.100:9200) → Kibana (192.168.0.100:5601)

1. 安装和配置 Elasticsearch (Windows: 192.168.0.100)

  1. 下载并解压

  2. 配置文件

    编辑:C:\elasticsearch-<version>\config\elasticsearch.yml

    添加或修改以下内容:

    cluster.name: syslog-cluster
    node.name: node-1
    path.data: C:\elasticsearch\data
    path.logs: C:\elasticsearch\logs

    监听所有网卡,供 Filebeat 远程访问

    network.host: 0.0.0.0
    http.port: 9200

    单节点模式(测试环境用)

    discovery.type: single-node

3. 启动 Elasticsearch

在命令行进入 C:\elasticsearch-<version>\bin,执行:

复制代码 
elasticsearch.bat
  • 打开浏览器访问 http://192.168.0.100:9200/,如果能看到 JSON 输出,说明成功。

2. 安装和配置 Kibana (Windows: 192.168.0.100)

  1. 下载并解压

  2. 配置文件

    编辑:C:\kibana-<version>\config\kibana.yml

    修改:

    server.port: 5601
    server.host: "0.0.0.0"

    指向本机的 Elasticsearch

    elasticsearch.hosts: ["http://192.168.0.100:9200"]

    设置 Kibana 实例的名称

    server.name: "kibana-win"

3. 启动 Kibana

在命令行进入 C:\kibana-<version>\bin,执行:

复制代码 
kibana.bat
  • 打开浏览器访问 http://192.168.0.100:5601/,确认 Kibana 界面能加载。

3. 安装和配置 Filebeat (Linux: 192.168.0.83)

  1. 安装 Filebeat

    curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-8.14.3-x86_64.rpm
    sudo rpm -ivh filebeat-8.14.3-x86_64.rpm

2. 配置 syslog 输入

编辑:/etc/filebeat/filebeat.yml

修改或添加:

复制代码 
filebeat.inputs:
  - type: syslog
    protocol.udp:
      host: "0.0.0.0:514"
    tags: ["syslog"]

output.elasticsearch:
  hosts: ["http://192.168.0.100:9200"]
  # 如果 ES 开启了用户名密码,这里需要:
  # username: "elastic"
  # password: "yourpassword"

setup.kibana:
  host: "192.168.0.100:5601"

默认 514 端口需要 root 权限监听,如果报错,可以改成 1514,然后在 syslog 服务端把日志发到 1514。

3. 启动 Filebeat 并设置开机自启

复制代码 
sudo systemctl enable filebeat
sudo systemctl start filebeat
sudo systemctl status filebeat

4. 测试 Filebeat 是否能写入 Elasticsearch

复制代码 
curl -X GET "192.168.0.100:9200/_cat/indices?v"
或
curl -X GET "https://192.168.0.100:9200/_cat/indices?v" -u elastic:你的密码 --insecure

4. 验证 Syslog 流程

通过http://localhost:5601/进入登录界面

输入账号和密码进行登录,进行日志集成配置

在登录界面选择 Stack Management

创建数据视图

创建数据视图后,就可以看到Syslog的日志加载到Elasticsearch上的效果了,选择Discover查看日志,以查看sendmail日志为例:

相关推荐
Test-Sunny9 分钟前
MLOps 的CI/CD VS DevOps 的CI/CD
运维·ci/cd·devops
YongCheng_Liang19 分钟前
Windows CMD 常用命令:7 大核心模块速查指南(附实战场景)
运维·服务器·windows·1024程序员节
huangyuchi.31 分钟前
【Linux网络】套接字Socket编程预备
linux·运维·服务器·端口号·linux网络·套接字·1024程序员节
Bruce_Liuxiaowei34 分钟前
[特殊字符] C&C服务器:网络攻击的指挥中心
运维·服务器·网络安全
阿酷tony37 分钟前
IIS服务器一直报Application Error错误
运维·服务器
wanhengidc40 分钟前
服务器硬件设备都有哪些?
运维·服务器·网络·游戏·智能手机·架构·云计算
序属秋秋秋1 小时前
《Linux系统编程之入门基础》【权限管理】
linux·运维·服务器·笔记·学习·ubuntu·xshell
yuanyxh1 小时前
前端仔的一次运维实践
linux·运维·前端
lastHertz4 小时前
Docker 占用导致 C 盘空间不足的排查与解决
运维·docker·容器
TG_yunshuguoji5 小时前
阿里云代理商:阿里云CDN访问问题怎么诊断?
运维·服务器·阿里云·云计算
热门推荐
01BongoCat - 跨平台键盘猫动画工具02GitHub 镜像站点03UV安装并设置国内源04GitLab 零基础入门指南:从安装到项目管理全流程05Linux下V2Ray安装配置指南06NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南07jdk21下载、安装(Windows、Linux、macOS)08Labelme从安装到标注:零基础完整指南092025软件测试面试八股文(含答案+文档)10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)