Я настроил ssl на моем сайте teampass на моем тестовом сервере. Я не вижу «s» в https://teampass.domain.org
Когда я пытаюсь навестить m создание службы анализатора журналов, чтобы начать мониторинг в основном наших брандмауэров pfSense, гипервизоров XenServer, серверов FreeBSD / Linux и серверов Windows.
В Интернете есть много документации о стеке ELK и о том, как заставить его работать нормально. Но я бы хотел использовать его по-другому, но я не знаю, хорошее ли это решение или просто пустая трата времени / дискового пространства.
У меня уже есть машина FreeBSD 10.2, действующая как удаленный сервер системного журнала, и моя идея состоит в том, чтобы просто сконцентрировать все журналы на этой машине, и их сервер системного журнала пересылает журналы с помощью logstash-forwarder на сервер ELK.
Мне ясно, что этот подход поднимет диск требования для этой установки, но, с другой стороны, у меня будет только одна машина с установленным демоном logstash-forwarder , что мне кажется хорошим.
Но поговорим о проблемах. Парсер logstash сопоставляет [host] с именем хоста сервера, отправляющего сообщения журнала, и в этом подходе на ELK, удаленном сервере системного журнала, отображается только «server».
Мне известно, что я могу настроить параметры в файлах конфигурации logstash , но я не знаю (и у меня нет опыта, чтобы знать), является ли это просто простой настройкой в парсеры этого, если скомпрометируют весь опыт ELK.
В конце я просто хочу получить несколько советов о моей архитектуре журналирования и о том, будет ли она работать, или я должен отказаться от других вариантов.
Заранее спасибо,
Да. Можно без особых хлопот изменить поле host в выводе logstash с помощью фильтра ruby .
ruby {
code => "
event['host'] = event['message'].split(' ')[3]
"
}
Здесь я предположил, что в журналах сервера системного журнала поле host является четвертым полем, где пробел - разделитель.