Я оцениваю стек ELK с помощью filebeat и logstash для различных приложений / серверов.
Я понимаю, что возможность настраивать свои собственные шаблоны grok для каждого приложения / журнала, но для начала работы кажется очень неэффективным вручную создавать свой собственный шаблон для каждого приложения, хотя, конечно, это было сделано до меня!
Связанные с filebeat информационные панели, похоже, создают информационную панель на основе полей, которые мне нужно вручную создать в logstash (например, system.auth.sudo.command
). Есть ли лучший способ с большим количеством «батарей в комплекте», которого мне не хватает?
Это прискорбно, но стандартным ответом на такие вещи в мире Logstash является настройка вашего грока. Они включают множество встроенных шаблонов , чтобы сделать это проще, но вам всё равно придётся создавать grok { }
утверждения, чтобы использовать их. Плагины Logstash input {}
часто включают набор схем, выделенных для этого конкретного сервиса, но не в виде syslog-файлов (особенно из файловых источников).