在之前搭建完GrayLog的基础上(参考之前的文章CentOS7下部署Graylog开源日志管理系统)
参考GrayLog官方帮助文档中关于sidecar的详细介绍动手实践验证sidecar日志采集功能
下面为详细步骤:(点击图片查看清晰大图)
1、添加Beats类型的Input
2、创建graylog-sidecar的token
3、先在Linux主机上安装sidecar客户端和filebeat
两种方式:
1)安装Graylog Sidecar存储库配置后yum install graylog-sidecar
rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-sidecar-repository-1-2.noarch.rpm
yum install graylog-sidecar
2)rpm -ivh 方式本地安装
这里下载sidecar的x86_64位版本的rpm包(同时也把windows版本也下载下来,后面介绍)
filebeat最新的安装包https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.8.0-x86_64.rpm
rpm -ivh graylog-sidecar-1.0.2-1.x86_64.rpm
rpm -ivh filebeat-7.8.0-x86_64.rpm
并修改配置文件
vi /etc/graylog/sidecar/sidecar.yml
1)#server_url: "http://127.0.0.1:9000/api/"
修改为http://192.168.31.80:9000/api/
2)server_api_token: "bavcp8u7sanaottr2lllg2ebogsn6brfgnifa76vm3ec8n64k50"
3)#node_name: ""改为node_name: "192.168.31.194_CentOS7"
4)取消#update_interval: 10的注释update_interval: 10
5)取消#send_status: true 的注释send_status: true
graylog-sidecar -service install
systemctl start graylog-sidecar
这时在sidecar总览界面看到192.168.31.194在线
4、配置采集规则
1)Sidecars Overview界面点击Configuration按钮
2)点击Create Configuration创建配置
Name自定义为CentOS7_collector_cfg
Configuration color挑选一个颜色
Collector选择为filebeat on Linux类型
Configuration配置文件修改
例如 paths: - /opt/nginx/*.log 也就是采集/opt/nginx/目录下.log结尾的日志
output.logstash: hosts: ["192.168.31.80:5044"] 发给192.168.31.80的5044端口,也就是之前创建的beats 5044接收端口
最后配置好之后,点Create保存配置
5、下发配置文件
先回到Sidecars Overview界面,点击Administration管理按钮,进行配置下发
6、验证日志采集是否生效
例如/opt/nginx目录下有日志产生
点击show messages 可以查询对应日志说明正常采集
7、windows版本的graylog-sidecar安装与配置
windows版本sidecar已经集成了filebeat和winlogbeat
1)安装graylog-sidecar
2)安装过程中配置相关参数
API URL http://192.168.31.80:9000/api
实例名 Win7_192.168.31.38
填入GrayLog的API token
3)完成安装
4)命令行注册服务,并启动服务
"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service install
"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service start
这时可以在服务里看到sidecar注册到系统服务中了
5)grayLog中也可以看到该windows主机上线了
6)这时可以创建一个windows filebeat类型的采集规则配置然后进行下发,具体步骤就不赘述了,见下面步骤截图 最后验证一下效果
