我正在尝试为我的最后一年项目创建一个集中日志存储库项目。
以下是我项目的流程: - 1.从syslog,java apps,logstash等不同来源接收日志 2.可以通过http,tcp / udp端口等接收这些日志 3.解析收到的日志并将其转换为JSON 4.将JSON存储在mongo DB中。
现在我已经完成了通过TCP和HTTP接收日志消息的支持。
但我不确定如何识别日志格式并解析它。
当我从不同的日志源获取日志消息时,我想不出一种映射方式一条日志消息,它是正确的解析器实现。
让我们说通过TCP端口,我收到系统日志消息,Apache日志和Java应用程序日志以及logstash处理过的日志。我逐个获取这些日志条目,现在如何为每条日志消息识别正确的格式/解析器?
我知道ELK堆栈存在于此类事物中,但我强调的是尝试这些事情并尽可能多地学习。