Je construis un service d'analyseur de journaux pour commencer à surveiller principalement nos pare-feu pfSense, hyperviseurs XenServer, serveurs FreeBSD / Linux et serveurs Windows.
Il y a beaucoup de documentation sur Internet sur la pile ELK et comment la faire fonctionner correctement. Mais je voudrais l'utiliser d'une manière différente, mais je ne sais pas si c'est une bonne solution ou juste une perte de temps / d'espace disque.
J'ai déjà une machine FreeBSD 10.2 agissant comme un serveur syslog distant, et mon idée est de simplement concentrer tous les journaux sur cette machine et le serveur syslog transmet les journaux logstash-forwarder
au serveur ELK.
Il est clair pour moi que cette approche augmentera les exigences de disque pour cette configuration, mais d'autre part, je n'aurai qu'une seule machine avec le logstash-forwarder
démon installé, ce qui me semble bon.
Mais parler de problèmes. L' logstash
analyseur correspond [host]
au nom d'hôte du serveur envoyant les messages de journal, et dans cette approche, il n'y a que sur "server" show sur ELK, le serveur syslog distant.
Je suis conscient que je peux personnaliser les paramètres des logstash
fichiers de configuration mais je ne sais pas (et je n'ai pas l'expérience pour savoir) si ce n'est qu'un simple paramètre sur les analyseurs si cela compromettra l'ensemble de l'ELK expérience.
En fin de compte, je veux juste quelques conseils sur mon architecture de journalisation et si cela fonctionnera, ou si je dois aller sans autre option.
Merci d'avance,
Réponses:
Oui. Il est possible de changer le
host
champ en sortie logstash avecruby
filtre sans trop de tracas.Ici, je suppose que dans les journaux du serveur syslog, le champ hôte est le quatrième champ où l'espace blanc est le séparateur.
la source