优化日志收集¶

1. 要求¶

# 目前是收集所有的日志
# 要求只收集部分日志，如错误、警告、ssh信息

2. 修改filebeat配置文件¶

vim /etc/filebeat/filebeat.yml
# 打开38行的注释，并添加一个监控ssh登录的日志
 36   # Include lines. A list of regular expressions to match. It exports the lines that are
 37   # matching any regular expression from the list.
 38   include_lines: ['^ERR', '^WARN','sshd']

3. 重启filebeat服务¶

systemctl restart filebeat

4. 监控chup.log¶

# 打开一个窗口，一直监控日志文件，看是否有信息
tail -f /var/log/chup.log
# 经过一段时间发现，由于监控日志级别较高，当前时间段并没有什么日志产生

5. 手动模拟一个ssh登录失败¶

# 另起一个窗口，ssh登录，并输入错误密码测试！
ssh root@42.192.132.182

# 发现只有设置了过滤的sshd的日志记录到了，没有了其他杂七杂八的日志出现！

最后更新: 2022-02-19 13:05:46