Estou construindo um serviço de analisador de log para começar a monitorar principalmente nossos firewalls pfSense, hipervisores XenServer, servidores FreeBSD/Linux e servidores Windows.
Há muita documentação na internet sobre a pilha ELK e como fazê-la funcionar bem. Mas gostaria de usá-lo de uma maneira diferente, mas não sei se é uma boa solução ou apenas uma perda de tempo/espaço em disco.
Eu já tenho uma máquina FreeBSD 10.2 atuando como um servidor syslog remoto, e minha ideia é simplesmente concentrar todos os logs nesta máquina e nela o servidor syslog encaminha os logs logstash-forwarderpara o servidor ELK.
Está claro para mim que essa abordagem aumentará os requisitos de disco para essa configuração, mas, por outro lado, terei apenas uma máquina com o logstash-forwarderdaemon instalado, o que me parece bom.
Mas falando sobre problemas. O logstashanalisador corresponde [host]ao nome do host do servidor que envia as mensagens de log e, nessa abordagem, há apenas um "servidor" exibido no ELK, o servidor syslog remoto.
Estou ciente de que posso personalizar as configurações nos logstasharquivos de configuração, mas não sei (e não tenho experiência para saber) se isso é apenas uma configuração simples nos parsers dele se comprometerá todo o ELK experiência.
No final, quero apenas alguns conselhos sobre minha arquitetura de registro e se funcionará ou se devo continuar sem outra opção.
Desde já, obrigado,
Sim. É possível alterar o
hostcampo na saída logstash comrubyfiltro sem muito trabalho.Aqui eu assumi nos logs do servidor syslog, o campo host é o quarto campo onde o espaço em branco é o separador.