Saya sedang membangun layanan penganalisa log untuk mulai memantau terutama Firewall pfSense kami, XenServer Hypervisors, server FreeBSD / Linux dan server Windows.
Ada banyak dokumentasi di internet tentang tumpukan ELK dan cara membuatnya bekerja dengan baik. Tetapi saya ingin menggunakannya dengan cara yang berbeda, tetapi saya tidak tahu apakah ini solusi yang baik atau hanya buang-buang waktu / ruang disk.
Saya sudah memiliki mesin FreeBSD 10.2 yang bertindak sebagai server syslog jarak jauh, dan ide saya adalah dengan hanya berkonsentrasi semua log pada mesin ini dan mereka server syslog meneruskan log dengan logstash-forwarder
ke server ELK.
Jelas bagi saya bahwa pendekatan ini akan meningkatkan persyaratan disk untuk pengaturan ini, tetapi di sisi lain saya hanya akan memiliki satu mesin dengan logstash-forwarder
daemon yang diinstal, yang tampaknya baik untuk saya.
Tetapi berbicara tentang masalah. The logstash
parser pertandingan [host]
dengan hostname dari server mengirimkan pesan log, dan dalam pendekatan ini hanya ada pada "server" acara pada ELK, remote server syslog.
Saya sadar bahwa saya dapat menyesuaikan pengaturan pada logstash
file konfigurasi tetapi saya tidak tahu (dan saya tidak memiliki pengalaman untuk mengetahui) apakah ini hanya pengaturan sederhana pada parser itu jika akan membahayakan seluruh ELK pengalaman.
Pada akhirnya saya hanya ingin beberapa saran tentang arsitektur logging saya dan apakah itu akan berhasil, atau jika saya harus pergi tanpa opsi lain.
Terima kasih sebelumnya,
Jawaban:
Iya. Dimungkinkan untuk mengubah
host
bidang dalam output logstash denganruby
filter tanpa banyak kesulitan.Di sini saya mengasumsikan dalam log server syslog, bidang host adalah bidang keempat di mana ruang putih adalah pemisah.
sumber