Le(s) fichier(s) de configuration logstash sont dans /etc/logstash/conf.d du moins sur CentOS.
Un fichier de configuration se décompose en 3 sections :

  • input : indique comment logstash récupère les logs (socket tcp/udp, fichier, ...)
  • filter : manière dont on parse, modifie ou formate le contenu des logs
  • output : ou stocker les logs

Dans chacune de ces sections on utilise des plugins, au vu du nombre je vous renvoie vers la doc officielle.