Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
wiki:monitoring:elk:logstash [2019/01/14 18:12] frazew Actualisation et ajout de la config SNMP |
wiki:monitoring:elk:logstash [2020/06/27 18:16] (Version actuelle) |
||
---|---|---|---|
Ligne 14: | Ligne 14: | ||
Pour chaque machine un serveur syslog (rsyslog ou syslog-ng) surveille les fichiers journaux. | Pour chaque machine un serveur syslog (rsyslog ou syslog-ng) surveille les fichiers journaux. | ||
- | Chaque nouveau message est ainsi transféré vers le serveur Logstash | + | Chaque nouveau message est ainsi transféré vers le serveur Logstash, où il est analysé et formaté avant d' |
==== Architecture snmp ==== | ==== Architecture snmp ==== | ||
Ligne 55: | Ligne 55: | ||
A noter que les deux points ":" | A noter que les deux points ":" | ||
- | Puis pour tout envoyer vers le container Logstash sur le port 514 en TCP : | + | Puis pour tout envoyer vers le container Logstash sur le port 514 en UDP : |
< | < | ||
- | *.* @logstash: | + | *.* @logstash.priv.minet.net:514 |
</ | </ | ||
- | |||
- | <WRAP center round info > | ||
- | On utilisait avant le port standard 514 mais le service logstash drop maintenant les privilèges et ne peut donc plus s'y binder. | ||
- | </ | ||
=== logstash === | === logstash === | ||
Ligne 141: | Ligne 137: | ||
newkey = key.gsub(/ | newkey = key.gsub(/ | ||
event.set(newkey, | event.set(newkey, | ||
- | if ( newkey =~ /MacAddress$/ && event.get(newkey) !~ / | + | if ( newkey =~ /MacAddr(ess)*$/ && event.get(newkey) !~ / |
event.set(newkey, | event.set(newkey, | ||
end | end |