MA
Ну с ним геморрой, это да. Решение явно сырое. Они только недавно ошибку в генераторе сертификатов поправили
сам x-pack довольно надежная вещь, используем его около 1.5 года в продакшене и пока фатальных ошибок не встречали
Size: a a a
2018 May 04
SM
сам x-pack довольно надежная вещь, используем его около 1.5 года в продакшене и пока фатальных ошибок не встречали
Ну вот как обновлять буду так и проникнусь радостью)
ИЛ
Коллеги,добрый день.Поделитесь пожалуйста примером парсинга grok-ом.
MP
вот простейший пример:
grok {
match => [ "message" , "%{WORD:msg}.%{NUMBER:value}.%{DATA:url}.%{IP4:ip_address}" ]
}
grok {
match => [ "message" , "%{WORD:msg}.%{NUMBER:value}.%{DATA:url}.%{IP4:ip_address}" ]
}
MP
и еще вот тут http://grokdebug.herokuapp.com/patterns# есть описание что такое NUMBER, что такое WORD и т.д.
ИЛ
Спасибо сейчас гляну
ИЛ
А вы на чем делаете Алертинг?
ИЛ
на GreyLoge?
MP
А вы на чем делаете Алертинг?
можно чуть детальнее раскрыть что имеется ввиду?
ИЛ
Как при достижении определенного порога мертрики оповестить оператора?На сколько я понимаю в kibana такого нет.
MA
Как при достижении определенного порога мертрики оповестить оператора?На сколько я понимаю в kibana такого нет.
смотря какое решение, можно через "email-2-telegram" посредством алертинга/машинного обучения
ИЛ
в данном случае решение по сбору и обработки событий ELK,на каком уровне этой архитектуры можно прикрутить алертинг.
MA
в данном случае решение по сбору и обработки событий ELK,на каком уровне этой архитектуры можно прикрутить алертинг.
в рамках штатных возможностей, с этим справится алертинг/ml
A
Подскажите. Есть filebeat который смотрит на несколько типов логов. И шлёт их в logstash. На сколько я понял, filebeat умеет работать только с 1 output. В итоге получается что льёт он разные типы логов в один и тот же logstash. Но мне нужно раскидать по разным индексам и по разному фильтровать сообщения. Есть ли более красивый выход из ситуации, кроме как громоздить if’ы в конфиге logstash ?
MA
Подскажите. Есть filebeat который смотрит на несколько типов логов. И шлёт их в logstash. На сколько я понял, filebeat умеет работать только с 1 output. В итоге получается что льёт он разные типы логов в один и тот же logstash. Но мне нужно раскидать по разным индексам и по разному фильтровать сообщения. Есть ли более красивый выход из ситуации, кроме как громоздить if’ы в конфиге logstash ?
1. если логи имеют разную структуру с фикс. идентификатором, можно разрулить эти потоки на уровне logstash-а
2. если индектификаторов нет, можно их как-либо добавить на уровне приложения-источника логов
2. если индектификаторов нет, можно их как-либо добавить на уровне приложения-источника логов
A
1. если логи имеют разную структуру с фикс. идентификатором, можно разрулить эти потоки на уровне logstash-а
2. если индектификаторов нет, можно их как-либо добавить на уровне приложения-источника логов
2. если индектификаторов нет, можно их как-либо добавить на уровне приложения-источника логов
ну пометить то логи я могу еще на урове filebeat. Но тут перфекционист во мне режет вены, потому что это поле идентификатор попадет в индексы.
MA
ну пометить то логи я могу еще на урове filebeat. Но тут перфекционист во мне режет вены, потому что это поле идентификатор попадет в индексы.
ваше решение вполне разумное, если вы не перегружаетесь этим единым потоком, то какой смысл их разводить ? к тому же, наличие идента в индексах эластика рано или поздно пригодится, это может дать маневры для более детальной аналитики данных или раздельному предоставлению доступа