Estou avaliando a pilha ELK com filebeat & logstash através de uma gama diversificada de aplicações / servidores.
Eu entendo o poder de personalizar meus próprios padrões de grok para cada aplicativo / log, mas para começar a correr inicialmente parece muito ineficiente entregar manualmente meu próprio padrão para cada aplicativo, quando certamente já foi feito antes de mim!
Os painéis integrados de filebeat parecem criar um dashboard baseado em campos que eu preciso entregar manualmente no logstash (por exemplo, system.auth.sudo.command ). Existe uma maneira melhor com mais 'baterias incluídas' que eu estou sentindo falta?
É lamentável, mas a resposta padrão para esse tipo de coisa no mundo do Logstash é personalizar seu grok. Eles incluem muitos padrões internos para tornar isso mais fácil, mas você Ainda vai ter que criar grok { } declarações para utilizá-los. Logstash input {} plugins geralmente incluem um conjunto de esquemas dedicados a esse serviço específico, mas o estilo syslog não é uma dessas entradas (especialmente de fontes de arquivos).