Logstash est un outil disponible sur le site https://www.elastic.co/products/logstash, il permet une centralisation des processus data, une normalisation des schémas de données pour la destination de son choix et une personnalisation du format des logs.
Dans notre cas de figure, c’est lui qui va faire le lien entre syslog-ng et elasticsearch. Son installation nécessite quelques pré-requis comme OpenJDK et des sources sur lesquelles on peut s’appuyer, ici les sources importées de syslog-ng.
L’installation en elle-même et après avoir configuré les bonnes sources, s’effectue via notre utilitaire de paquet préféré. La configuration de logstash se découpe en 3 partie, « input », « filter », « output ».
- INPUT correspond à la configuration des fichiers en entrée, typiquement ceux stockées par syslog-ng et ainsi lui spécifier un type.
- FILTER permet d’appliquer des règles comme un reformatage des logs par exemple en fonction du type qu’on lui aura défini.
- OUTPUT spécifie avec quel procotole et vers quel hôte envoyer les logs une fois reformatés.