filebeat recopila registros del sistema y los clasifica automáticamente

Como protocolo general de recopilación de registros, syslog tiene una amplia gama de aplicaciones. El potente fluentd se puede utilizar para la recopilación de registros, pero requiere la instalación de complementos de Ruby uno tras otro, lo que no es fácil de implementar. Filebeat madura y admite una amplia gama de protocolos de entrada y salida, por lo que no es necesario instalar complementos adicionales.

Este artículo describirá cómo usar filebeat para recopilar syslogs de dispositivos de red remotos de Linux y Cisco y escribirlos en diferentes índices en elasticsearch según sea necesario.

versión de filebeat: 7.6

filebeat.yaml

Descripción: Las condiciones del índice se organizan de arriba a abajo si los registros cumplen alguna de las condiciones. , se guardarán en el índice correspondiente.

Si no se cumple alguna condición, el registro se guardará en el índice predeterminado.

Problema encontrado: Es posible que no sea posible escribir cuando se configuran setup.template.name personalizado y el índice predeterminado.

Configuración adicional:

Utilice kibana para configurar la política de ciclo de vida del índice para limpiar automáticamente los registros históricos de forma regular.

Referencia:

https://www.elastic.co/guide/en/beats/filebeat/current/elasticsearch-output.html

ES El La memoria dinámica predeterminada de 7.7.6 es 1G, que se puede aumentar de acuerdo con el tamaño de memoria real.

/etc/elasticsearch/jvm.options