我们希望在公司的所有产品团队中建立一个通用的日志记录接口。为此我们选择了 ELK,我想得到一些关于设置的建议:
一种方法是设置集中式 ELK,所有团队都可以使用某种日志转发器(例如 FileBeat)将日志发送到公共日志。我觉得这个问题是:如果团队想在日志上使用过滤器来分析日志消息,他们需要访问常见的 ELK 机器来添加过滤器,因为 Beats 不支持 groking 或任何其他过滤。
第二种方法是为每个团队使用不同的日志存储服务器,所有这些服务器都将指向通用的弹性搜索服务器。这样,团队可以自由修改/添加 grok 过滤器。
如果我遗漏了什么,或者可能是我理解错误,请启发我。欢迎其他想法。
您是否考虑过使用fluentd?轻量级,类似于 filebeat,并允许摸索和解析。
当然,您的另一种选择是使用集中式 Logstash 实例,并为每个实体提供不同的配置文件。