logstash-forwarder(曾名lumberjack)是一个用go语言写的日志发送端,
主要是为一些机器性能不足,有性能强迫症的患者准备的。
主要功能:
通过配置的信任关系,把被监控机器的日志加密后传送给logstash,
减少被收集日志机器的性能消耗,相当于日志的计算换一台机器;
仅支持加密连接;
支持监控多个目录的多个文件,每个监控组增加tag属性,方便logstash后续分拣;
性能相当强劲;
多个下游logstash,一个fail/connection broken,自动更换;
不支持功能:
日志过滤,比如根据某种模板过滤只发送部分行;
不加密连接;
配置部分:
生成ssl证书:
openssl req -x509 -batch -nodes -newkey rsa:2048 -days 8650 -keyout lumberjack.key -out lumberjack.crt -subj /CN=logstash.example.com关于证书部分,我不是专家,照着prj官网 https://github.com/elastic/logstash-forwarder 做的。
**-days 参数是很有必要的,不然,证书默认只有30天有效期,过期后,一旦重启或者断连,两端会判断证书过期,无法连接。**
文档说生成以ip为签名的证书会非常复杂。
forwarder发送端:
{ "network": { "servers": [ "logstash1.abc.com:4551" ], "ssl ca": "./lumberjack.crt" }, "files": [ { "paths": ["/opt/tengine_1.5.2/logs/access.log"], "fields": { "type": "app_abc" },
"deadtime":"1h" # 如果文件修改时间比最近工具访问时间老这么久,就不再监听它 } ] }
启动forwarder:
./logstash-forwarder -config=lf.json-conf
如果需要从一个非常大的文件的结尾开始读取,而不是从文件开头,可以预先修改一下 ~/.logstash-forwarder 文件。
[root@host-111 ~]# cat ~/.logstash-forwarder
{"/var/log/user/xxxx_app.log":{"source":"/var/log/user/xxxx_app.log","offset":3219807683,"inode":525517,"device":2051}}
logstash配置接收端:
input { lumberjack { port => 4551 ssl_certificate => "/root/lumberjack.crt" ssl_key => "/root/lumberjack.key" } } output { stdout { codec => rubydebug } }
启动logstash就不用说了吧……