我们希望在我们公司的所有产品团队中建立一个通用的日志接口。我们为此选择了 ELK,我想要一些关于设置的建议:
一种方法是设置集中式 ELK,所有团队都可以使用某种日志转发器,例如 FileBeat 将日志发送到公共 logstash。我觉得这个问题是:如果团队想在日志上使用过滤器来分析日志消息,他们需要访问通用 ELK 机器来添加过滤器,因为 Beats 不支持 groking 或任何其他过滤。
第二种方法是每个团队有不同的 logstash 服务器,所有这些都将指向通用的 Elastic Search 服务器。这样团队就可以自由修改/添加 grok 过滤器。
如果我遗漏了什么或者我理解有误,请赐教。欢迎其他想法。