ELKスタック（Logstash、Elasticsearch、Kibana）と同時リモートsyslogサーバー？

私は主にpfSenseファイアウォール、XenServerハイパーバイザー、FreeBSD / Linuxサーバー、およびWindowsサーバーの監視を開始するログアナライザーサービスを構築しています。

ELKスタックとそれをうまく機能させる方法については、インターネット上にたくさんのドキュメントがあります。しかし、私はそれを別の方法で使用したいのですが、それが良い解決策なのか、単に時間/ディスク容量の無駄なのかはわかりません。

私はすでにリモートSyslogサーバーとして機能しているFreeBSD 10.2マシンを持っています。私の考えは、すべてのログをこのマシンに集中させ、それらのSyslogサーバーがログをlogstash-forwarderELKサーバーに転送することです。

このアプローチでは、このセットアップのディスク要件が増えることは明らかですが、一方、logstash-forwarderデーモンがインストールされているマシンは1つだけなので、これは私にとっては良さそうです。

しかし、問題について話します。logstashパーサのマッチ[host]ログメッセージを送信するサーバのホスト名と、このアプローチでのみELK、リモートsyslogサーバーの「サーバー」のショーにあります。

logstash構成ファイルの設定をカスタマイズできることは承知していますが、これがパーサーの単純な設定であり、ELK全体が危険にさらされるかどうかはわかりません（経験もありません）。経験。

結局のところ、私のロギングアーキテクチャと、それが機能するのか、それとも他のオプションなしで進むべきなのかについて、いくつかのアドバイスが欲しいだけです。

前もって感謝します、

はい。あまり面倒なくフィルターhostでlogstash出力のフィールドを変更することが可能rubyです。

    ruby {
            code => "
                    event['host'] = event['message'].split(' ')[3]
                   "
    }

ここでは、syslogサーバーログで想定していますが、ホストフィールドは4番目のフィールドで、空白は区切り文字です。