跳转至

优化日志收集

1. 要求

# 目前是收集所有的日志
# 要求只收集部分日志,如错误、警告、ssh信息

2. 修改filebeat配置文件

vim /etc/filebeat/filebeat.yml
# 打开38行的注释,并添加一个监控ssh登录的日志
 36   # Include lines. A list of regular expressions to match. It exports the lines that are
 37   # matching any regular expression from the list.
 38   include_lines: ['^ERR', '^WARN','sshd']

3. 重启filebeat服务

systemctl restart filebeat

4. 监控chup.log

# 打开一个窗口,一直监控日志文件,看是否有信息
tail -f /var/log/chup.log
# 经过一段时间发现,由于监控日志级别较高,当前时间段并没有什么日志产生

5. 手动模拟一个ssh登录失败

# 另起一个窗口,ssh登录,并输入错误密码测试!
ssh root@42.192.132.182

# 发现只有设置了过滤的sshd的日志记录到了,没有了其他杂七杂八的日志出现!

img_7.png

最后更新: 2022-02-19 13:05:46