ELK স্ট্যাক (লগস্ট্যাশ, ইলাস্টিকসার্চ এবং কিবানা) সমবর্তী রিমোট সিস্টোল সার্ভার সহ?

আমি মূলত আমাদের পিএফসেন্স ফায়ারওয়ালস, জেনসভার হাইপারভাইজারস, ফ্রিবিএসডি / লিনাক্স সার্ভার এবং উইন্ডোজ সার্ভারগুলি পর্যবেক্ষণ শুরু করতে লগ বিশ্লেষক পরিষেবা তৈরি করছি building

ELK স্ট্যাক এবং কীভাবে এটি সুন্দরভাবে কাজ করা যায় সে সম্পর্কে ইন্টারনেটে প্রচুর ডকুমেন্টেশন রয়েছে। তবে আমি এটি অন্যরকমভাবে ব্যবহার করতে চাই, তবে আমি জানি না এটির কোনও ভাল সমাধান বা সময় / ডিস্কের জায়গার অপচয়।

আমার কাছে ইতিমধ্যে একটি ফ্রিবিএসডি 10.2 মেশিন রয়েছে যা রিমোট সিসলগ সার্ভার হিসাবে কাজ করছে এবং আমার ধারণাটি হ'ল এই মেশিনে সমস্ত লগকে ঘন করা এবং সেগুলিতে সার্গল সার্ভার লগগুলি ইএলকে সার্ভারের সাথে ফরোয়ার্ড করে logstash-forwarder।

এটি আমার কাছে পরিষ্কার যে এই পদ্ধতির এই সেটআপটির জন্য ডিস্কের প্রয়োজনীয়তা বাড়িয়ে তুলবে, তবে অন্যদিকে আমার কাছে logstash-forwarderডেমন ইনস্টল থাকা একটি মাত্র মেশিন থাকবে যা আমার কাছে ভাল লাগবে।

তবে সমস্যা নিয়ে কথা বলছি। logstashপার্সার ম্যাচ [host]লগ বার্তা পাঠানোর সার্ভারের হোস্টনেম, এবং এই পদ্ধতির মধ্যে মাত্র ELK, দূরবর্তী syslog সার্ভারের এ "সার্ভার" প্রদর্শনী দেখছেন সে বিষয়ে।

আমি জানি যে আমি logstashকনফিগারেশন ফাইলগুলিতে সেটিংস কাস্টমাইজ করতে পারি তবে আমি জানি না (এবং আমার জানার অভিজ্ঞতাও নেই) যদি এটি কেবলমাত্র পার্সারগুলির মধ্যে একটি সাধারণ সেটিংস হয় যদি পুরো ELK কে আপস করে তোলে অভিজ্ঞতা।

শেষ পর্যন্ত আমি আমার লগিং আর্কিটেকচার সম্পর্কে কিছু পরামর্শ চাই এবং এটি যদি কাজ করে, বা অন্য বিকল্প ছাড়া আমার যাওয়া উচিত কিনা।

আগাম ধন্যবাদ,

হ্যাঁ. অনেক ঝামেলা ছাড়াই ফিল্টার hostসহ লগস্ট্যাশ আউটপুটে ক্ষেত্রটি পরিবর্তন করা সম্ভব ruby।

    ruby {
            code => "
                    event['host'] = event['message'].split(' ')[3]
                   "
    }

এখানে আমি সিসলোগ সার্ভার লগগুলিতে ধরে নিয়েছি, হোস্ট ক্ষেত্রটি চতুর্থ ক্ষেত্র যেখানে সাদা স্থান পৃথককারী।