我正在构build一个日志分析器服务,以开始主要监视我们的pfSense防火墙,XenServer虚拟机pipe理程序,FreeBSD / Linux服务器和Windows服务器。
互联网上有很多关于ELK堆栈的文档,以及如何使它工作得很好。 但我想以不同的方式使用它,但我不知道这是一个好的解决scheme还是浪费时间/磁盘空间。
我已经拥有了一台充当远程系统日志服务器的FreeBSD 10.2机器,我的理念是简单地将所有的日志集中在这台机器上,而系统日志服务器将logstash-forwarder的日志logstash-forwarder给ELK服务器。
我很清楚,这种方法会提高这个设置的磁盘需求,但另一方面,我只有一台机器安装了logstash-forwarder守护进程,这对我来说似乎很好。
但是谈论问题。 logstashparsing器将[host]与发送日志消息的服务器的主机名相匹配,并且在这种方法中,仅在ELK上的“server”show上显示远程syslog服务器。
我知道我可以自定义logstashconfiguration文件的设置,但我不知道(而且我没有经验知道),如果这只是一个简单的parsing器设置,如果将危及整个ELK的经验。
最后,我只是想了解一些关于我的日志架构的build议,以及它是否可行,或者如果我没有其他的select。
提前致谢,
是。 使用rubyfilter可以在logstash输出中更改host字段,而没有太多麻烦。
ruby { code => " event['host'] = event['message'].split(' ')[3] " }
在这里我假设在系统日志服务器日志中,主机字段是第四个空格是分隔符的字段。