我目前正在使用kibana 5.0几乎45个日志源与kibana集成,如iis,vpn,asa等。现在我的问题是如何创建可视化来检查哪些日志源没有报告给kibana.can任何人都有帮助?
答案 0 :(得分:0)
快速而肮脏的解决方案...... 一旦数据进入logstash工作流程,请确保为每个日志源提供唯一且有意义的标记。 在处理每个文档时,写入一个单独索引的条目,将其命名为masterlist.idx(不要为此索引指定日期后缀)。将条目写入masterlist.idx时,请使用您指定的标签作为文档ID。
masterlist.idx应该只包含一个日志源列表,每个条目都有一个时间戳。然后,您所要做的就是显示所有条目的可视化主列表。您应该有45个文档,每个文档都有一个显示其最新更新的时间戳。我认为Kibana的发现选项卡上的默认时间戳将完成这项工作。任何未在X天内(或在您的阈值时)更新的来源都有问题。