我正在接管一个基础设施,其中 ELK (ElasticSearch / Logstash / Kibana)被设计为PoC,然后转变为生产服务。
目前有一个UDP input,其上有多个远程主机(主要是来自不同供应商的防火墙)正在发送其日志。
由于日志格式没有一致性,我想知道什么是最佳做法(我知道两种解决方案都可以)关于这个问题:
input s而不是防火墙设备,并要求我的网络管理员更改日志转发到的端口(例如,Juniper的端口10001,Cisco的端口10002,... )。filter中的多种模式来确定与Logstash通信的设备类型,然后为转换应用type标记并output。PS:我知道UDP监听器不是保存所有日志的最佳解决方案,但我现在必须使用它。
非常感谢