如何使用EFK堆栈在kubernetes集群中获取审计、文件敲击和度量get日志？

Question

我正在使用kubernetes集群的Kibana仪表板中的Fluentd尝试将审计、文件敲击和度量敲击日志放在一起。在我的Kibana仪表板中，我能够将审计、文件节拍和公制节拍日志分别作为文件

有人能推荐我吗？是否有可能在单一索引中获得上述3种类型的日志？

Answer 1

是的，假设你说的是EFK堆栈，而不是ELK堆栈。在你的坦诚中，你可以拥有这样的东西：

<match *.**>
  type copy
  <store>
    type elasticsearch
    host localhost
    port 9200
    include_tag_key true
    tag_key @log_name
    logstash_format true
    flush_interval 10s
    index_name fluentd.common.%Y%m%d
  </store>
</match>

它们都将使用相同的索引fluentd.common.%Y%m%d，而不是index_name fluentd.${tag}.%Y%m%d。