我有ELK从我所有的Windows服务器中提取日志并且运行良好。努力让我的Fortigate登录,我遇到了麻烦。这是我到目前为止所做的:
在Fortigate上:
config log syslogd setting
set status enable
set server "ip of my logstash server"
set port 5044
end
config log syslogd filter
set severity warning
end
在ELK服务器上,在/etc/logstash/conf.d下我添加了一个名为“20-fortigate-filter.conf”的新文件,其中包含以下内容:
filter {
kv {
add_tag => ["fortigate"]
}
}
然后重新启动logstash和kibana服务。但我没有在任何地方找到Kibana的日志。我错过了什么?
答案 0 :(得分:0)
您还需要指定“ field_split”和“ value_split”,
尝试一下:
kv {
add_tag => ["fortigate"]
value_split => "="
field_split => ","
}
注意:在fortigate syslog中启用csv。