这篇文章讲的是如何在Linux服务器上安装logstash-syslog-output插件及使用，是集网上之大成，择选出一条正确有效简短的路。

安装

插件logstash-syslog-output，如果你的logstash没有，则需要安装。
查看logstash是否含有这个插件的命令（假设你在logstash的根目录下,下同）
./bin/logstash-plugin list | grep logstash-output-syslog
安装
前提需要连的上互联网
先到官网下载插件gem包,就一个版本
logstash-output-syslog-3.0.5
执行安装命令（假设你将gem包放在了logstash的根目录下）
./bin/logstash-plugin install --no-verify --local logstash-output-syslog-3.0.5.gem
等待一段时间，出现 /tmp啥的字样就手动退出安装，然后执行上面的插件查看命令。
参考链接

syslog-output的配置

下面只配置了output，输入源自行选择

output {
  syslog {
    host => "192.168.0.1"
    port => 514
    protocol => "tcp"
    facility => "LOG_USER"
    severity => "LOG_INFO"
  }
}

参考链接
Linux,syslog的日志查看命令
tail -f /var/log/messages
这里的messages是日志输出文件，可能你的系统是同目录下的其他文件。
检验syslog是否开启命令
systemctl status rsyslog
模拟日志发送执行
logger hello
看看日志文件是否有hello记录
开启514-TCP监听，检查是否监听了514
netstat -anp | grep 514
若没有请修改syslog配置文件以启动对514的TCP监听
vim /etc/rsyslog.conf
找到如下内容

放开imtcp的两个注释

$ModLoad imtcp
$InputTCPServerRun 514

重启syslog
systemctl restart rsyslog
再次查看514端口是否被监听，如果成功开启，那么就有用了。
参考链接

最后

最后，可能你的环境和我的不一样，但是至少看完我的这篇博客，你能找到你需要解决的是哪一部的问题，欢迎提问。