Наша SIEM основана на elasti c, и мы попробовали несколько подходов, которые вы также описываете. В конце мы используем Beats AND Logsta sh между устройствами иasticsearch. Вот почему: наша инфраструктура большая, сложная и разнородная. Входные данные системного журнала Filebeat поддерживают только событие BSD (rfc3164) и некоторые варианты. Использование упомянутых парсеров cisco также исключает много. Остатки, все еще неразобранные события (в нашем случае их много) затем обрабатываются Logsta sh с использованием фильтра syslog_pri. И, наконец, для всех событий, которые еще не разобраны, у нас есть GROK.
Помимо формата системного журнала существуют и другие проблемы: временная метка и источник события. В некоторых событиях отсутствует информация о часовом поясе, и имя хоста / ip сопоставляется с указанным c часовым поясом, фиксируя смещения отметки времени. Другие события имеют очень точный c формат даты / времени (logsta sh заботится). Другие события содержат ip, но не имя хоста. В этом случае мы используем dns-фильтр в logsta sh, чтобы улучшить качество (и масштабируемость) сообщений.
По моему мнению, вы должны попытаться как можно больше предварительно обработать / проанализировать в filebeat и logsta sh впоследствии. Без logsta sh в ритме эластичного поиска и процессорах в тактах есть входные конвейеры, но оба они не являются полными и мощными, как logsta sh. И если у вас уже есть logsta sh, то будет только новый конвейер системного журнала;)
Edit :
Наконец-то есть ваша SIEM. С Beats ваши параметры вывода и форматы очень ограничены. Filebeat также ограничивает вас одним выходом. В Logsta sh вы можете даже разделять / клонировать события и отправлять их по разным адресатам, используя другой протокол и формат сообщения.