Я оцениваю стек ELK с помощью filebeat и logstash для различных приложений / серверов.
Я понимаю силу настройки моих собственных шаблонов Grok для каждого приложения / журнала, но для начала работы кажется очень неэффективным вручную создавать свой собственный шаблон для каждого приложения, хотя, безусловно, это было сделано до меня!
Связанные с filebeat панели мониторинга, похоже, создают панель на основе полей, которые мне нужно вручную создать в logstash (например, system.auth.sudo.command). Есть ли лучший способ с большим количеством «батарей в комплекте», которого мне не хватает?
К сожалению, стандартный ответ на подобные вещи в мире Logstash - настроить свой Grok. Они включают множество встроенных шаблонов чтобы было проще, но вам все равно придется создавать grok { } заявления по их использованию. Logstash input {} плагины часто включают набор схем, предназначенных для этой конкретной службы, но материал в стиле системного журнала не входит в их число (особенно из файловых источников).