동시 원격 syslog 서버가있는 ELK Stack (Logstash, Elasticsearch 및 Kibana)?


8

주로 pfSense Firewalls, XenServer Hypervisors, FreeBSD / Linux 서버 및 Windows 서버의 모니터링을 시작하는 로그 분석기 서비스를 구축하고 있습니다.

인터넷에는 ELK 스택에 대한 많은 문서와이를 잘 작동시키는 방법이 있습니다. 그러나 다른 방식으로 사용하고 싶지만 그것이 좋은 해결책인지 또는 시간 / 디스크 공간 낭비인지는 모르겠습니다.

이미 원격 syslog 서버 역할을하는 FreeBSD 10.2 시스템이 있고 이데아는 단순히이 시스템의 모든 로그를 집중시키는 것입니다. 그리고 syslog 서버는 로그를 logstash-forwarderELK 서버로 전달 합니다.

이 방법을 사용하면이 설정에 필요한 디스크 요구 사항이 높아질 것입니다. 반면에 logstash-forwarder데몬이 설치된 머신은 하나만있을 것입니다 .

그러나 문제에 대해 이야기합니다. logstash파서 일치 [host]서버의 호스트 이름이 로그 메시지를 전송하고,이 방법 만 이엘 케이, 원격 로그 서버의 "서버"쇼에 거기에.

logstash구성 파일 의 설정을 사용자 정의 할 수 있다는 것을 알고 있지만 전체 ELK를 손상시킬 경우 파서의 간단한 설정인지 알지 못합니다 (그리고 경험이 없습니다). 경험.

결국 나는 로깅 아키텍처와 그것이 작동하는지 또는 다른 옵션없이 가야하는지에 대한 조언을 원합니다.

미리 감사드립니다.


나는 당신이하고 싶은 것이 가능하다고 확신하지만 중앙 syslog 서버에 로그인하는 형식, 로깅 속도 등에 대한 세부 정보는 훌륭 할 것입니다. 또한 특정 질문을하면 단순히 "잃어 버렸습니다. 도와주세요"라고 말하는 것보다 훨씬 나은 답변을 얻을 수 있습니다.
GregL

그레이 로그를 고려 했습니까? graylog syslog 입력을 사용하여 syslog를 elasticsearch에 수집 할 수 있습니다. 거기에서 Kibana를 사용할 수 있으며 graylog에는 syslog / pfsense 추출기가 있습니다.
데비

Logstash 또한이 시스템 로그 ... 입력
GregL

답변:


3

예. 번거 로움없이 필터를 사용 host하여 logstash 출력 에서 필드 를 변경할 수 있습니다 ruby.

    ruby {
            code => "
                    event['host'] = event['message'].split(' ')[3]
                   "
    }

여기서 syslog 서버 로그에서 호스트 필드는 공백이 구분 기호 인 네 번째 필드입니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.