Estou criando um serviço de analisador de logs para começar a monitorar principalmente nossos firewalls pfSense, XenServer Hypervisors, servidores FreeBSD / Linux e servidores Windows.
Há muita documentação na internet sobre a pilha ELK e como fazê-la funcionar bem. Mas gostaria de usá-lo de uma maneira diferente, mas não sei se é uma boa solução ou apenas uma perda de tempo / espaço em disco.
Eu já tenho uma máquina FreeBSD 10.2 atuando como um servidor syslog remoto, e minha ideia é simplesmente concentrar todos os logs nesta máquina e eles o servidor syslog encaminha os logs logstash-forwarder
para o servidor ELK.
Está claro para mim que essa abordagem aumentará os requisitos de disco para essa configuração, mas, por outro lado, terei apenas uma máquina com o logstash-forwarder
daemon instalado, o que me parece bom.
Mas falando sobre problemas. O logstash
analisador corresponde [host]
ao nome do host do servidor que está enviando as mensagens de log e, nessa abordagem, existe apenas no programa "server" no ELK, o servidor syslog remoto.
Estou ciente de que posso personalizar as configurações nos logstash
arquivos de configuração, mas não sei (e não tenho experiência para saber) se essa é apenas uma configuração simples nos analisadores, se isso comprometer todo o ELK experiência.
No final, só quero alguns conselhos sobre minha arquitetura de log e se ela funcionará ou se devo seguir sem outra opção.
Desde já, obrigado,
Respostas:
Sim. É possível alterar o
host
campo na saída do logstash com oruby
filtro sem muito aborrecimento.Aqui assumi que, nos logs do servidor syslog, o campo host é o quarto campo em que o espaço em branco é o separador.
fonte