주로 pfSense Firewalls, XenServer Hypervisors, FreeBSD / Linux 서버 및 Windows 서버의 모니터링을 시작하는 로그 분석기 서비스를 구축하고 있습니다.
인터넷에는 ELK 스택에 대한 많은 문서와이를 잘 작동시키는 방법이 있습니다. 그러나 다른 방식으로 사용하고 싶지만 그것이 좋은 해결책인지 또는 시간 / 디스크 공간 낭비인지는 모르겠습니다.
이미 원격 syslog 서버 역할을하는 FreeBSD 10.2 시스템이 있고 이데아는 단순히이 시스템의 모든 로그를 집중시키는 것입니다. 그리고 syslog 서버는 로그를 logstash-forwarder
ELK 서버로 전달 합니다.
이 방법을 사용하면이 설정에 필요한 디스크 요구 사항이 높아질 것입니다. 반면에 logstash-forwarder
데몬이 설치된 머신은 하나만있을 것입니다 .
그러나 문제에 대해 이야기합니다. logstash
파서 일치 [host]
서버의 호스트 이름이 로그 메시지를 전송하고,이 방법 만 이엘 케이, 원격 로그 서버의 "서버"쇼에 거기에.
logstash
구성 파일 의 설정을 사용자 정의 할 수 있다는 것을 알고 있지만 전체 ELK를 손상시킬 경우 파서의 간단한 설정인지 알지 못합니다 (그리고 경험이 없습니다). 경험.
결국 나는 로깅 아키텍처와 그것이 작동하는지 또는 다른 옵션없이 가야하는지에 대한 조언을 원합니다.
미리 감사드립니다.