我的ELK搭建笔记（以服务方式运行Logstash）

以服务方式运行Logstash

目录预览

1、准备服务安装文件
2、运行服务安装脚本
3、启动Logstash服务
4、查看服务运行日志
5、这个地方有陷阱

在HELLO WORLD项目中，logstash是以命令行方式运行的。这种方式适合调试，不适合在生产环境自动化运行，如果你和我一样，希望能以服务的方式允许logstash，让每次系统启动都能自动运行logstash，那么这篇笔记可供参考。

1、准备服务安装文件

假定Logasth主目录在用户elk-test：
/home/elk-test/elk-install/logstash-5.1.2文件夹下
首先修改服务安装配置文件：
/home/elk-test/elk-install/logstash-5.1.2/config/startup.options

如果您有自定义的grok patterns，请统一放在Logstash主目录下的patterns文件夹。

示例的syslog-min.conf如下：

2、运行服务安装脚本

在logstash主目录下，以root身份执行命令bin/system-install安装服务。

3、启动Logstash服务

启动Logstash服务
设置服务自启动：systemctl enable logstash
启动服务：systemctl start logstash
停止服务：systemctl stop logstash
重启服务：systemctl restart logstash
查看服务状态：systemctl status logstash

4、查看服务运行日志

/var/log/messages
/home/elk-test/elk-install/logstash-5.1.2/logs/logstash-plain.log

5、这个地方有陷阱

以服务方式运行后，logstash会加载mappings目录下所有的配置文件，并且会合并。因此，如果日志解析出现问题，记得查看下这些配置文件有没有冲突的？我自己曾在这个目录放了syslog和jdbc两个配置文件，结果导致输入冲突。

如果你希望在同一台服务器上部署多个服务，最好是把logstash主目录多复制几份，安装在不同的来启动吧。