Sto creando un servizio di analisi dei log per iniziare a monitorare principalmente i nostri firewall pfSense, XenServer Hypervisors, server FreeBSD / Linux e server Windows.
C'è molta documentazione su Internet sullo stack ELK e su come farlo funzionare bene. Ma vorrei usarlo in un modo diverso, ma non so se sia una buona soluzione o solo una perdita di tempo / spazio su disco.
Ho già una macchina FreeBSD 10.2 che funge da server syslog remoto, e la mia idea è quella di concentrare semplicemente tutti i log su questa macchina e loro il server syslog inoltra i log logstash-forwarderal server ELK.
È chiaro per me che questo approccio aumenterà i requisiti del disco per questa configurazione, ma d'altra parte avrò solo una macchina con il logstash-forwarderdemone installato, il che mi sembra buono.
Ma parlando di problemi. Il logstashparser corrisponde [host]al nome host del server che invia i messaggi di registro e in questo approccio c'è solo lo spettacolo "server" su ELK, il server syslog remoto.
Sono consapevole che posso personalizzare le impostazioni sui logstashfile di configurazione ma non so (e non ho l'esperienza da sapere) se questa è solo una semplice impostazione sui suoi parser se comprometterà l'intero ELK Esperienza.
Alla fine voglio solo alcuni consigli sulla mia architettura di registrazione e se funzionerà o se dovrei andare senza altre opzioni.
Grazie in anticipo,