Я создаю службу анализатора журналов, чтобы начать мониторинг в основном наших брандмауэров pfSense, гипервизоров XenServer, серверов FreeBSD / Linux и серверов Windows.
В Интернете есть много документации о стеке ELK и о том, как заставить его работать. Но я бы хотел использовать его по-другому, но я не знаю, хорошее ли это решение или просто пустая трата времени / дискового пространства.
У меня уже есть машина с FreeBSD 10.2, действующая как удаленный сервер системного журнала, и моя идея состоит в том, чтобы просто сконцентрировать все журналы на этой машине, и их сервер системного журнала пересылает журналы с помощью logstash-forwarder на сервер ELK.
Мне ясно, что такой подход повысит требования к диску для этой установки, но, с другой стороны, у меня будет только одна машина с logstash-forwarder демон установлен, что мне кажется хорошим.
Но поговорим о проблемах. В logstash парсер совпадений [host] с именем хоста сервера, отправляющего сообщения журнала, и в этом подходе есть только "сервер", показанный на ELK, удаленном сервере системного журнала.
Я знаю, что могу изменить настройки на logstash файлы конфигурации, но я не знаю (и у меня нет опыта, чтобы знать), если это просто простая настройка в парсерах, если это скомпрометирует весь опыт ELK.
В конце концов, мне просто нужны советы о моей архитектуре журналирования и о том, будет ли она работать, или мне следует отказаться от других вариантов.
Заранее спасибо,
Да. Можно изменить host поле в выводе logstash с ruby фильтр без особых хлопот.
ruby {
code => "
event['host'] = event['message'].split(' ')[3]
"
}
Здесь я предположил, что в журналах сервера системного журнала поле хоста является четвертым полем, где пробел является разделителем.