Разбор или переформатирование логов перед подачей их в Splunk или Elastic Search
У меня есть очень сложные сообщения журнала, которые я хочу сократить до самых важных полей, чтобы сохранить квоту.
Сообщения журнала являются многострочными, и в них содержится много избыточной информации. Решение состоит в том, чтобы написать что-то, чтобы переформатировать эти журналы в oneliners перед передачей их на сервер пересылки, но я бы предпочел использовать уже существующее решение. Я думал об использовании чего-то вроде logstash или fluentd, но они, похоже, не совсем соответствуют моему сценарию использования.
У кого-нибудь есть опыт разбора логов для Splunk или ELK, и знает, какая хорошая утилита это делает?
Спасибо и наилучшими пожеланиями!
1 ответ
Это часто встречается при работе с журналами событий Windows. Многие решают проблему с помощью SEDCMD в transforms.conf для редактирования событий.
Другое решение заключается в предварительной обработке событий с помощью Cribl ( https://www.cribl.io/).