0

我对弹性堆栈完全陌生。

所以我的问题空间是我有在客户端机器上运行的实用程序。我们在这些机器上生成的日志很少(数千个),所以我们有三个数据源 - csv 文件、日志文件(由我的应用程序生成)和 windows事件簿 。我想将这三个结合起来并从中生成一些有用的信息。还想生成一个带有一些图表的仪表板,这些图表将由经理使用。

我已经对 elk stack 进行了归零,想法是我在客户端机器上安装 beats 并将数据推送到弹性,然后使用 Kibana 进行一些可视化。由于我可能有数千个客户端将数据推送到弹性服务器,因此将这些数据永远保存在服务器中可能是不可行的。但我需要更新的可视化,始终可用。所以我计划对弹性索引数据运行定期查询,生成的结果(这是我需要的真实信息)将保存在弹性索引中的单独索引中,并且 Kibana 中的可视化设置基于这个索引。现在可以清除所有原始数据。这样我提取真实信息并保留它并删除不必要的信息。

我对专家的问题是

  1. 鉴于问题陈述,我的想法或设计是否正确(对麋鹿堆栈而言)
  2. 在麋鹿堆栈中是否可行,是否有任何示例或实用程序可以实现这一目标。

谢谢高拉夫

4

1 回答 1

0
  1. 将聚合结果保存回 ElasticSearch 是一个非常有效的选择。您还应该考虑将冷存储作为存储大量数据且保留时间长的选项。
  2. 您在问题中标记了 logz.io,因此值得一提的是,有一个名为“Timeless accounts”的 logz.io 功能,它使用优化器来定义应该保存比基础日志的保留期更长的查询结果。

作为记录,我在 logz.io 工作

于 2021-07-29T17:34:48.693 回答