我刚开始玩ELK来开发我们的日志分析解决方案。 我有一些关于最佳实践的问题,所以我开始时没有做出任何错误的选择。
此工具将分析各种类型的日志,以找出并关联任何问题。它将在多个“设备”上运行,每个设备都可以使用序列号进行唯一标识。
问题1)是否可以创建一个将序列号作为用户输入的仪表板? 细节:我想创建1个仪表板来分析各个字段,我应该能够指定设备的序列号作为输入。从我看到的,我可以使用过滤器,但这需要可视化“编辑”。所以现在似乎是我,如果我需要分析多个设备,那么我需要为每个设备创建一个仪表板。这将是一个问题,如果我需要修改仪表板,那么我将不得不对所有人进行更改。通过将其他仪表板作为JSON文件导入可以最大限度地减少问题,但仍然不方便。 有没有更好的方式我不知道?
问题2)在主仪表板上,我想显示各种“服务”的热图以及它们作为时间序列的状态。对于例如说我正在监控,CPU,内存,网络和我们的服务然后我想看到如下所示:
现在热图可视化不提供唯一指定条件的方法。我通过填充虚拟数据生成上面的图像,其中值是0,1,2,3之一。这意味着我需要定期创建这样的数据,然后可视化可以使用。是否有任何由ELK提供的内置机制(例如,预定作业)进行此类处理。一个选项可能是运行一个外部问题,查询Elasticsearch,获取所有相关信息,分析它并将其放回Elasticssearch。这是唯一的方法吗?
如果还有其他建议,请随时分享。感谢。