logstash作为服务端接收rsyslog客户端的日志,但只在logstash监听514端口时,才能收到rsyslog客户端的日志。各位大神能否给予指点?
具体信息:
两台主机,操作系统Redhat7.3:
A主机IP:192.168.1.5 部署了rsyslog,作为syslog客户端。防火墙已全部关闭
B主机IP:192.168.1.6 部署了logstash-5.6.3。 注:rsyslog服务已停,防火墙已全部关闭
A主机上的rsyslog配置(/etc/rsyslog.conf)如下:
#启用UDP&TCP
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
......
......
#日志转发服务端的logstash
*.* @@192.168.1.6:518
B主机上的logstash配置如下:
input {
tcp {
port => 518
type => syslog
}
udp {
port => 518
type => syslog
}
}
output {
stdout {}
}
使用上述配置,分别启动A主机的rsyslog和B主机的Logstash,均无异常。但在A主机上执行“logger test”和“logger test”,logstash却收不到日志。
将上述rsyslog中转发的端口改为514,且logstash中监听的端口也都改为514后,再在A主机上执行“logger test”和“logger test”,logstash就能够收到日志了。
感谢您的解惑!
具体信息:
两台主机,操作系统Redhat7.3:
A主机IP:192.168.1.5 部署了rsyslog,作为syslog客户端。防火墙已全部关闭
B主机IP:192.168.1.6 部署了logstash-5.6.3。 注:rsyslog服务已停,防火墙已全部关闭
A主机上的rsyslog配置(/etc/rsyslog.conf)如下:
#启用UDP&TCP
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
......
......
#日志转发服务端的logstash
*.* @@192.168.1.6:518
B主机上的logstash配置如下:
input {
tcp {
port => 518
type => syslog
}
udp {
port => 518
type => syslog
}
}
output {
stdout {}
}
使用上述配置,分别启动A主机的rsyslog和B主机的Logstash,均无异常。但在A主机上执行“logger test”和“logger test”,logstash却收不到日志。
将上述rsyslog中转发的端口改为514,且logstash中监听的端口也都改为514后,再在A主机上执行“logger test”和“logger test”,logstash就能够收到日志了。
感谢您的解惑!
1 个回复
wo2329726
赞同来自: