Wir möchten eine gemeinsame Protokollierungsschnittstelle für alle Produktteams in unserem Unternehmen einrichten. Wir haben ELK dafür gewählt und ich möchte einen Rat bezüglich der Einrichtung:Centralized ELK vs Zentralisiertes EK + Multiple Logstash
Ein Weg ist zentralisierte ELK einzurichten und alle Teams können eine Art Log Forwarder verwenden, z. FileBeat zum Senden von Protokollen an gewöhnliche logstash. Das Problem mit diesem Gefühl ist: Wenn Teams Filter in den Protokollen für die Analyse von Protokollnachrichten verwenden möchten, müssen sie auf die allgemeine ELK-Maschine zugreifen, um Filter hinzuzufügen, da Beats das Growing oder andere Filter nicht unterstützt.
Der zweite Weg besteht darin, verschiedene Logstash-Server pro Team zu haben, die alle auf den üblichen Elastic Search-Server verweisen. Auf diese Weise können Teams Grokfilter modifizieren/hinzufügen.
Bitte erleuchten Sie mich, wenn ich etwas vermisse oder ich falsch verstanden habe. Andere Ideen sind willkommen.
Sie können mit Dateibeats filtern: https://www.elastic.co/guide/en/beats/filebeat/current/configuration-filebeat-options.html#exclude-lines – baudsp