ELK на минималках

Эта заметка описывает минимальную конфигурацию для частного случая - получения в syslog сообщений от свитчей.

Логика работы

• свитч отправляет сообщение по UDP
• syslog-ng ловит сообщение и пишет его в файл
• файл разбирает filebeat и отправляет данные в логстеш
• logstash пишет в elasticserach
• логи в elasticsearch смотреть через kibana

• Кроме этого syslog-ng пишет все логи в Elasticsearch напрямую но в другой индекс (который хранится меньше времени)
• старые файлы удаляет logrotate
• старые индексы удаляет TODO!!!

Syslog-Ng

Starting with syslog-ng version 3.6.1 the default system() source on Linux systems using systemd uses journald as its standard system() source.

Cсылки

• https://wiki.archlinux.org/title/syslog-ng#systemd/journald_integration