Input Logstash:过滤单个UDP输入上的异构日志
我正在接管一个基础设施,ELK(ElasticSearch/Logstash/Kibana)被设计为PoC,然后转变为生产服务 当前有一个UDPInput Logstash:过滤单个UDP输入上的异构日志,input,udp,logstash,elastic-stack,Input,Udp,Logstash,Elastic Stack,我正在接管一个基础设施,ELK(ElasticSearch/Logstash/Kibana)被设计为PoC,然后转变为生产服务 当前有一个UDP输入,多个远程主机(主要是来自不同供应商的防火墙)在其上发送日志 由于日志格式不一致,我想知道关于这个问题的最佳做法是什么(我知道两种解决方案都是可能的): 在Logstash中创建比我拥有的防火墙设备多的输入s,并请我的网络管理员更改日志转发到的端口(例如,Juniper的端口10001,Cisco的端口10002,…) 在filter中使用许多模式
输入
,多个远程主机(主要是来自不同供应商的防火墙)在其上发送日志
由于日志格式不一致,我想知道关于这个问题的最佳做法是什么(我知道两种解决方案都是可能的):
- 在Logstash中创建比我拥有的防火墙设备多的
s,并请我的网络管理员更改日志转发到的端口(例如,Juniper的端口10001,Cisco的端口10002,…)输入
- 在
中使用许多模式来识别哪个设备类型正在与Logstash通信,然后为转换和filter
输出应用
标记type