如何让 SOF-ELK VM 注入 IIS 日志(如 httpd 日志)。以下是我的 filebeats yml 配置:
/etc/filebeat/filebeat.yml
filebeat.config.inputs:
enabled: true
path: /usr/local/sof-elk/lib/filebeat_inputs/*.yml
filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
output.logstash:
# The Logstash hosts
hosts: ["localhost:5044"]
/etc/filebeat/modules.d/iis.yml
- module: iis
access:
enabled: true
var.paths: ["/logstash/iis"]
error:
enabled: true
var.paths: ["/var/log/logstash_iis/"]
我重新加载并重新启动了系统,它没有出现在下拉菜单中或不存在:
答案1
只要 IIS 格式受支持,您就应该能够将它们放入 /logstash/httpd/。如果不支持,您可能需要在 httpd 解析器中添加/调整 grok 语句。