我们希望在公司的所有产品团队中建立一个通用的日志记录界面。我们为此选择了ELK,我想要一些关于设置的建议:
一种方法是设置集中式ELK,所有团队都可以使用某种日志转发器,例如FileBeat将日志发送到公共logstash。我觉得这个问题是:如果团队想要在日志上使用过滤器来分析日志消息,他们需要访问普通的ELK机器来添加过滤器,因为Beats不支持groking或任何其他过滤。
第二种方法是为每个团队配备不同的logstash服务器,所有这些服务器都将指向常见的Elastic Search服务器。通过这种方式,团队可以自由修改/添加grok过滤器。
如果我遗失某些事情或者我理解错误,请赐教。欢迎其他想法。
答案 0 :(得分:0)
您是否考虑过使用流利语?轻量级,类似于filebeat,允许缓存和解析。
当然,您的另一种选择是使用集中式Logstash实例,并为每个实体配置不同的配置文件。