我正在构建一个日志分析器服务来开始主要监控我们的 pfSense 防火墙、XenServer Hypervisors、FreeBSD/Linux 服务器和 Windows 服务器。
互联网上有很多关于 ELK 堆栈以及如何使其正常工作的文档。但我想以不同的方式使用它,但我不知道这是一个好的解决方案还是只是浪费时间/磁盘空间。
我已经有一台 FreeBSD 10.2 机器充当远程 syslog 服务器,我的想法是简单地将所有日志集中在这台机器上,然后 syslog 服务器将日志转发logstash-forwarder到 ELK 服务器。
我很清楚这种方法会提高此设置的磁盘要求,但另一方面,我将只有一台logstash-forwarder安装了守护程序的机器,这对我来说似乎很好。
但是谈问题。logstash解析器与发送日志消息的服务器的[host]主机名匹配,在这种方法中,只有远程系统日志服务器 ELK 上的“服务器”显示。
我知道我可以自定义logstash配置文件上的设置,但我不知道(而且我没有经验知道)这是否只是解析器上的一个简单设置,是否会危及整个 ELK经验。
最后,我只想要一些关于我的日志架构的建议,以及它是否可以工作,或者我是否应该没有其他选择。
提前致谢,
是的。可以毫不费力地使用过滤器更改
hostlogstash输出中的字段。ruby这里我假设在 syslog 服务器日志中,主机字段是第四个字段,其中空格是分隔符。