【发布时间】:2017-10-18 05:20:34
【问题描述】:
我目前正在使用 kibana 5.0 几乎 45 个日志源与 kibana 集成,例如 iis、vpn、asa 等。现在我的问题是如何创建可视化来检查哪些日志源没有向 kibana 报告。有人可以帮忙吗?
【问题讨论】:
【发布时间】:2017-10-18 05:20:34
【问题描述】:
快速而肮脏的解决方案... 确保每个日志源在其数据进入 logstash 工作流程后立即被赋予一个唯一且有意义的标签。 在处理每个文档时,将一个条目写入一个单独的索引,称之为 masterlist.idx(不要给这个索引一个日期后缀)。将条目写入 masterlist.idx 时,使用您分配的标签作为文档 ID。
masterlist.idx 实际上应该只包含一个日志源列表,每个条目都有一个时间戳。然后您所要做的就是可视化显示所有条目的主列表。您应该有 45 个文档,每个文档都有一个显示其最新更新的时间戳。我认为 Kibana 的发现选项卡上的默认时间选择器可以完成这项工作。任何在 X 天内(或您的阈值)未更新的来源都有问题。
【讨论】: