ELK Stack (Logstash, Elasticsearch e Kibana) com servidor syslog remoto simultâneo?

8

Estou criando um serviço de analisador de logs para iniciar o monitoramento, principalmente dos nossos firewalls pfSense, hipervisores XenServer, servidores FreeBSD / Linux e servidores Windows.

Há muita documentação na internet sobre a pilha ELK e como fazê-la funcionar bem. Mas eu gostaria de usá-lo de uma maneira diferente, mas não sei se é uma boa solução ou apenas um desperdício de tempo / espaço em disco.

Eu já tenho uma máquina FreeBSD 10.2 atuando como um servidor syslog remoto, e minha ideia é simplesmente concentrar todos os logs nesta máquina e eles o servidor syslog encaminha os logs com logstash-forwarder para o servidor ELK.

É claro para mim que essa abordagem aumentará os requisitos de disco para essa configuração, mas, por outro lado, terei apenas uma máquina com o daemon logstash-forwarder instalado, o que parece bom para mim.

Mas falando sobre problemas. O logstash parser corresponde a [host] com o nome do host do servidor que está enviando as mensagens de log e, nessa abordagem, há apenas no "servidor" show no ELK, o servidor syslog remoto.

Estou ciente de que posso personalizar as configurações nos arquivos de configuração logstash , mas não sei (e não tenho experiência para saber) se essa é apenas uma configuração simples dos analisadores se comprometer toda a experiência do ELK.

No final, quero apenas alguns conselhos sobre minha arquitetura de registro e se funcionará, ou se devo ir sem outra opção.

Agradecemos antecipadamente

    
por Vinícius Ferrão 24.11.2015 / 00:40

1 resposta

3

Sim. É possível alterar o campo host na saída do logstash com o filtro ruby sem muita complicação.

    ruby {
            code => "
                    event['host'] = event['message'].split(' ')[3]
                   "
    }

Aqui eu assumi nos logs do servidor syslog, o campo host é o quarto campo onde o espaço em branco é o separador.

    
por 24.11.2015 / 11:22