Я довольно новичок в ELK и изо всех сил пытаюсь понять, как лучше организовать доставку журналов в logstash.
Что у меня есть:
- Многие службы REST API работают
- Многие службы, которые выполняют различный тип обработки
- Набор реплик БД Mongo
- Все работает в контейнерах Docker
- ELK и Filebeat также в Docker
- Вся инфраструктура взлетает и падает, используя docker-compose
- Для UAT / Dev /QA У меня есть только один сервер для всех сервисов
- Для Prod, конечно, у меня есть несколько серверов для ускорения инфраструктуры
Я хочу обрабатывать все журналы по-разному, что означаетчто я хочу применить различные шаблоны для его анализа (используя grok) и хочу узнать, какие журналы идут от какой службы (я планировал использовать имя журнала или что-то вроде этого здесь).
Ссылаясь на то, что я написалвыше, я имею в виду следующие параметры:
- Добавить установку Filebeat к каждому образу докера и настроить его для каждой службы
- Запустить много выдающихся контейнеров док-станции с FiИзображение lebeat для каждой службы
- Переадресация всех журналов на один том с одним экземпляром Filebeat
Что будет лучшим вариантом в моем случае?Я был бы очень признателен, если бы вы поделились своими мыслями об этом.