Estoy creando un servicio de analizador de registros para comenzar a monitorear principalmente nuestros firewalls pfSense, hipervisores XenServer, servidores FreeBSD / Linux y servidores Windows.
Hay mucha documentación en Internet sobre la pila de ELK y cómo hacer que funcione bien. Pero me gustaría usarlo de una manera diferente, pero no sé si es una buena solución o solo una pérdida de tiempo / espacio en disco.
Ya tengo una máquina FreeBSD 10.2 que actúa como un servidor syslog remoto, y mi idea es simplemente concentrar todos los registros en esta máquina y luego el servidor syslog reenvía los registros logstash-forwarder
al servidor ELK.
Para mí está claro que este enfoque aumentará los requisitos de disco para esta configuración, pero por otro lado solo tendré una máquina con el logstash-forwarder
demonio instalado, lo que me parece bueno.
Pero hablando de problemas. El logstash
analizador coincide [host]
con el nombre de host del servidor que envía los mensajes de registro, y en este enfoque solo se muestra en el "servidor" en ELK, el servidor remoto de syslog.
Soy consciente de que puedo personalizar la configuración en los logstash
archivos de configuración, pero no sé (y no tengo la experiencia para saber) si esto es solo una configuración simple en los analizadores, si comprometerá todo el ELK experiencia.
Al final solo quiero algunos consejos sobre mi arquitectura de registro y si funcionará, o si debo ir sin otra opción.
Gracias por adelantado,
Respuestas:
Si. Es posible cambiar el
host
campo en la salida de logstash conruby
filtro sin mucha molestia.Aquí asumí que en los registros del servidor syslog, el campo host es el cuarto campo donde el espacio en blanco es el separador.
fuente