我已经在 CentOS 服务器上设置了一个 logstash,以通过 CIFS 挂载从我们的生产 Web 服务器 IIS 日志中读取。
input {
file {
path => "/mnt/remote/server*/W3SVC1/ex*.log"
type => "w3c"
}
}
filter {
grok {
type => "w3c"
match => [ "message", "%{HOST:hostname} %{IP:hostip} %{WORD:method} %{URIPATH:request} (?:%{NOTSPACE:param}|-) %{NUMBER:port} (?:%{USER:username}|-) %{IPORHOST:clientip} %{NOTSPACE:httpver} (?:%{NOTSPACE:agent}|-) %{NOTSPACE:cookies} %{NOTSPACE:referer} %{IPORHOST:webhostname} %{NUMBER:status} %{NUMBER:time-taken}" ]
}
}
但是,在最初阅读了最初的大量日志之后,它就死了。
(之后提升的数据来自不同的数据源)
我从这个线程中尝试了来自 Jordan 的 hack ,但它似乎不起作用
tail -f /mnt/remote/server1/W3SVC1/ex130913.log | java -jar logstash.jar
由于安全问题,我们故意避免在我们的前端 Web 服务器上安装 Java/Logstash。那么,你能想出一种方法来完成这项工作吗?