ELKスタック（Logstash、Elasticsearch、Kibana）と同時リモートsyslogサーバー？

Question

私はログアナライザーサービスを構築して、主にpfSenseファイアウォール、XenServerハイパーバイザー、FreeBSD/Linuxサーバー、およびWindowsサーバーの監視を開始しています。

ELKスタックとそれをうまく機能させる方法についてはインターネット上にたくさんのドキュメントがあります。しかし、私はそれを別の方法で使用したいのですが、それが良い解決策なのか、それとも単に時間/ディスクスペースの浪費なのかわかりません。

私はすでにFreeBSD10.2マシンをリモートsyslogサーバーとして機能させています。私の考えは、すべてのログをこのマシンに集中させることであり、syslogサーバーはログをlogstash-forwarderとともにELKサーバーに転送します。

このアプローチでは、このセットアップのディスク要件が高くなることは明らかですが、一方で、logstash-forwarderデーモンがインストールされているマシンは1台だけであり、これは私にとっては良いことのようです。

しかし、問題について話します。 logstashパーサーは、[Host]をログメッセージを送信するサーバーのホスト名と照合します。このアプローチでは、リモートsyslogサーバーであるELKの「server」showにのみ存在します。

logstash構成ファイルの設定をカスタマイズできることは知っていますが、これがパーサーの単純な設定であるかどうかはわかりません（そして、知る経験がありません）。 ELKエクスペリエンス全体が損なわれる場合。

結局、ロギングアーキテクチャについて、それが機能するかどうか、または他のオプションなしで実行する必要があるかどうかについて、いくつかアドバイスが必要です。

前もって感謝します、

7171u · Answer

はい。 logstash出力のHostフィールドは、Rubyフィルターを使用して簡単に変更できます。

 Ruby { code => " event['Host'] = event['message'].split(' ')[3] " }

ここでは、syslogサーバーログで、[ホスト]フィールドが4番目のフィールドであり、空白が区切り文字であると想定しています。