我正在使用 filebeat 和 logstash 评估各种应用程序 / 服务器上的 ELK 堆栈。
我了解为每个应用程序/日志定制自己的 grok 模式的强大功能,但为了最初运行,为每个应用程序手工制作自己的模式似乎非常低效,而这肯定在我之前已经完成了!
filebeat 捆绑的仪表板似乎根据我需要在 logstash 中自己手工制作的字段创建仪表板(例如system.auth.sudo.command)。有没有更好的方法可以添加我缺少的更多“附带电池”?
答案1
这很不幸,但在 Logstash 世界中,这种事情的标准答案是定制你的 grok。它们包含许多内置模式使这更容易,但您仍然需要编写grok { }语句来利用它们。Logstashinput {}插件通常包含一组专用于该特定服务的架构,但 syslog 样式的内容不是这些输入之一(尤其是来自文件源的输入)。