ELK logstash и основные шаблоны Grok

Question

ELK logstash и основные шаблоны Grok

Я оцениваю стек ELK с помощью filebeat & logstash для различных приложений / серверов.

Я понимаю всю мощь настройки моих собственных шаблонов Grok для каждого приложения / журнала, но для запуска на начальном этапе кажется очень неэффективным вручную создавать свой собственный шаблон для каждого приложения, когда, конечно, это было сделано до меня!

Кажется, что связанные панели filebeat создают панель, основанную на полях, которые мне нужно создать вручную в logstash (например, system.auth.sudo.command). Есть ли лучший способ с большим количеством "включенных батарей", которого мне не хватает?

2

logstash kibana elk filebeat

Источник

Dan Poltawski 18 янв '18 в 17:14

1 ответ

Другие вопросы по тегам logstash kibana elk filebeat

sysadmin1138 21 янв '18 в 15:25 2018-01-21 15:25 · Answer 1 · 2018-01-21 15:25

Это печально, но стандартный ответ на подобные вещи в мире Logstash - настроить ваш грок. Они включают в себя множество встроенных шаблонов, чтобы сделать это проще, но вам все равно придется создавать grok { } заявления, чтобы использовать их. Logstash input {} Плагины часто включают в себя набор схем, предназначенных для этой конкретной службы, но материал в стиле системного журнала не является одним из таких входных данных (особенно из файловых источников).