Когда я пытаюсь навестить m создание службы анализатора журналов, чтобы начать мониторинг в основном наших брандмауэров pfSense, гипервизоров XenServer, серверов FreeBSD / Linux и серверов Windows.
В Интернете есть много документации о стеке ELK и о том, как заставить его работать нормально. Но я бы хотел использовать его по-другому, но я не знаю, хорошее ли это решение или просто пустая трата времени / дискового пространства.
У меня уже есть машина FreeBSD 10.2, действующая как удаленный сервер системного журнала, и моя идея состоит в том, чтобы просто сконцентрировать все журналы на этой машине, и их сервер системного журнала пересылает журналы с помощью logstash-forwarder
на сервер ELK.
Мне ясно, что этот подход поднимет диск требования для этой установки, но, с другой стороны, у меня будет только одна машина с установленным демоном logstash-forwarder
, что мне кажется хорошим.
Но поговорим о проблемах. Парсер logstash
сопоставляет [host]
с именем хоста сервера, отправляющего сообщения журнала, и в этом подходе на ELK, удаленном сервере системного журнала, отображается только «server».
Мне известно, что я могу настроить параметры в файлах конфигурации logstash
, но я не знаю (и у меня нет опыта, чтобы знать), является ли это просто простой настройкой в парсеры этого, если скомпрометируют весь опыт ELK.
В конце я просто хочу получить несколько советов о моей архитектуре журналирования и о том, будет ли она работать, или я должен отказаться от других вариантов.
Заранее спасибо,
Да. Можно без особых хлопот изменить поле host
в выводе logstash с помощью фильтра ruby
.
ruby {
code => "
event['host'] = event['message'].split(' ')[3]
"
}
Здесь я предположил, что в журналах сервера системного журнала поле host является четвертым полем, где пробел - разделитель.