Estou criando um serviço de analisador de logs para iniciar o monitoramento, principalmente dos nossos firewalls pfSense, hipervisores XenServer, servidores FreeBSD / Linux e servidores Windows.
Há muita documentação na internet sobre a pilha ELK e como fazê-la funcionar bem. Mas eu gostaria de usá-lo de uma maneira diferente, mas não sei se é uma boa solução ou apenas um desperdício de tempo / espaço em disco.
Eu já tenho uma máquina FreeBSD 10.2 atuando como um servidor syslog remoto, e minha ideia é simplesmente concentrar todos os logs nesta máquina e eles o servidor syslog encaminha os logs com logstash-forwarder para o servidor ELK.
É claro para mim que essa abordagem aumentará os requisitos de disco para essa configuração, mas, por outro lado, terei apenas uma máquina com o daemon logstash-forwarder instalado, o que parece bom para mim.
Mas falando sobre problemas. O logstash parser corresponde a [host] com o nome do host do servidor que está enviando as mensagens de log e, nessa abordagem, há apenas no "servidor" show no ELK, o servidor syslog remoto.
Estou ciente de que posso personalizar as configurações nos arquivos de configuração logstash , mas não sei (e não tenho experiência para saber) se essa é apenas uma configuração simples dos analisadores se comprometer toda a experiência do ELK.
No final, quero apenas alguns conselhos sobre minha arquitetura de registro e se funcionará, ou se devo ir sem outra opção.
Agradecemos antecipadamente
Sim. É possível alterar o campo host na saída do logstash com o filtro ruby sem muita complicação.
ruby {
code => "
event['host'] = event['message'].split(' ')[3]
"
}
Aqui eu assumi nos logs do servidor syslog, o campo host é o quarto campo onde o espaço em branco é o separador.