Мы хотим создать общий интерфейс регистрации всех групп продуктов в нашей компании. Мы выбрали ELK для этого, и я хочу получить некоторые рекомендации относительно настройки:Централизованный ELK vs Централизованный EK + Множественный Logstash
Один из способов - создать централизованный ELK, и все команды могут использовать какой-то журнал пересылки, например. FileBeat для отправки журналов в общую logstash. Проблема с этим я чувствую: если команды хотят использовать фильтры в журналах для анализа сообщений журнала, им нужно будет получить доступ к общей машине ELK, чтобы добавить фильтры, поскольку Beats не поддерживает groking или любую другую фильтрацию.
Второй способ состоит в том, чтобы иметь разные серверы логсташей для каждой команды, и все они укажут на общий сервер Elastic Search. Таким образом, команды могут изменять или добавлять фильтры grok.
Пожалуйста, просветите меня, если я что-то упустил или, возможно, ошибаюсь в понимании. Другие идеи приветствуются.
Вы можете фильтровать с помощью filebeats: https://www.elastic.co/guide/en/beats/filebeat/current/configuration-filebeat-options.html#exclude-lines – baudsp