Estou criando um serviço de analisador de logs para iniciar o monitoramento, principalmente dos nossos firewalls pfSense, hipervisores XenServer, servidores FreeBSD / Linux e servidores Windows.
Há muita documentação na internet sobre a pilha ELK e como fazê-la funcionar bem. Mas eu gostaria de usá-lo de uma maneira diferente, mas não sei se é uma boa solução ou apenas um desperdício de tempo / espaço em disco.
Eu já tenho uma máquina FreeBSD 10.2 atuando como um servidor syslog remoto, e minha ideia é simplesmente concentrar todos os logs nesta máquina e eles o servidor syslog encaminha os logs com logstash-forwarder
para o servidor ELK.
É claro para mim que essa abordagem aumentará os requisitos de disco para essa configuração, mas, por outro lado, terei apenas uma máquina com o daemon logstash-forwarder
instalado, o que parece bom para mim.
Mas falando sobre problemas. O logstash
parser corresponde a [host]
com o nome do host do servidor que está enviando as mensagens de log e, nessa abordagem, há apenas no "servidor" show no ELK, o servidor syslog remoto.
Estou ciente de que posso personalizar as configurações nos arquivos de configuração logstash
, mas não sei (e não tenho experiência para saber) se essa é apenas uma configuração simples dos analisadores se comprometer toda a experiência do ELK.
No final, quero apenas alguns conselhos sobre minha arquitetura de registro e se funcionará, ou se devo ir sem outra opção.
Agradecemos antecipadamente