ELKログスタッシュとコアgrokパターン
さまざまなアプリケーション/サーバーで、filebeatとlogstashを使用してELKスタックを評価しています。
アプリケーション/ログごとに独自のgrokパターンをカスタマイズすることの威力は理解していますが、最初に実行するには、アプリケーションごとに独自のパターンを手作りするのは非常に非効率的です。
Filebeatにバンドルされたダッシュボードは、logstashで自分で手作りする必要があるフィールドに基づいてダッシュボードを作成しているようです(例:system.auth.Sudo.command)。より多くの「バッテリーが含まれている」より良い方法はありますか?
残念ながら、Logstashの世界でこの種のことを行うための標準的な答えは、grokをカスタマイズすることです。 多くの組み込みパターンが含まれています これを簡単にするためですが、それを利用するにはgrok { }ステートメントを作成する必要があります。 Logstash input {}プラグインには、その特定のサービス専用のスキーマセットが含まれていることがよくありますが、syslogスタイルのものはそれらの入力の1つではありません(特にファイルソースから)。