ELK Stack (Logstash，Elasticsearch和Kibana)与并发的远程syslog服务器？

Question

我正在构建一个日志分析器服务，主要用于监视我们的pfSense防火墙、XenServer管理程序、FreeBSD/Linux服务器和Windows。

互联网上有很多关于麋鹿堆栈的文档，以及如何让它更好地工作。但是我想以一种不同的方式使用它，但是我不知道它是一个好的解决方案还是浪费时间/磁盘空间。

我已经有一台FreeBSD 10.2机器充当远程syslog服务器，我的想法是将所有日志集中在这台机器上，而syslog服务器用logstash-forwarder将日志转发给ELK服务器。

很明显，这种方法会提高这个设置的磁盘要求，但另一方面，我只安装了一台安装了logstash-forwarder守护进程的机器，这对我来说似乎不错。

但说到问题。logstash解析器将[host]与发送日志消息的服务器的主机名匹配，在这种方法中，只有在远程syslog服务器ELK上的" server“显示。

我知道我可以自定义logstash配置文件上的设置，但我不知道(我也不知道)这是否只是解析器上的一个简单设置，如果会危及整个ELK体验。

最后，我只想得到一些关于我的日志架构的建议，以及它是否能工作，或者我是否应该放弃其他选择。

提前谢谢你，

Answer 1

是。可以使用host过滤器在logstash输出中更改ruby字段，而不需要太多麻烦。

    ruby {
            code => "
                    event['host'] = event['message'].split(' ')[3]
                   "
    }

在这里，我假设在syslog服务器日志中，主机字段是分隔符为空白的第四个字段。