Я создаю сервис анализа журналов, чтобы начать мониторинг в основном наших межсетевых экранов pfSense, гипервизоров XenServer, серверов FreeBSD / Linux и серверов Windows.
В интернете много документации о стеке ELK и о том, как заставить его работать. Но я хотел бы использовать его по-другому, но я не знаю, является ли это хорошим решением или просто трата времени / дискового пространства.
У меня уже есть машина FreeBSD 10.2, выступающая в роли удаленного сервера системного журнала, и моя идея заключается в том, чтобы просто сконцентрировать все журналы на этом компьютере, а затем сервер системного журнала переадресует журналы logstash-forwarder
на сервер ELK.
Мне ясно, что этот подход повысит требования к диску для этой установки, но, с другой стороны, у меня будет только одна машина с logstash-forwarder
установленным демоном, что мне кажется хорошим.
Но говорить о проблемах. В logstash
парсер матчи [host]
с хоста сервера отправки сообщений журнала, и в этом подходе есть только на «сервере» показать на ELK, на удаленном сервере системного журнала.
Я знаю, что могу настроить параметры в logstash
файлах конфигурации, но я не знаю (и у меня нет опыта, чтобы знать), является ли это простой настройкой парсеров, если это скомпрометирует весь ELK опыт.
В конце я просто хочу получить несколько советов о моей архитектуре логирования и о том, сработает ли она, или же мне не нужно выбирать другие варианты.
Заранее спасибо,
Ответы:
Да. Можно изменить
host
поле в выводе logstash сruby
фильтром без особых хлопот.Здесь я предположил в журналах сервера системного журнала, поле хоста является четвертым полем, где пробел является разделителем.
источник