上个月被领导的暗示下，需要用新的日志收集系统替代老旧的 Kiwi Syslog，有一说一确实，公司的 kiwisyslog 还停留在 09 年的版本，不然以后写季报和年报都没什么新花样了。目前还在部署 ELK 作为公司的新日志收集平台，收集日志的 logstash 使用传统的 UDP 514 端口主动收信息。看网上的教程基本每个交换机用的 logstash 都是不同交换机不同端口，写 grok 就很方便，而我们的设备已经运作了多年，一台一台交换机改端口实在是麻烦，只能一股脑塞进去过滤。但网上的匹配规则可能只有中高端交换机的匹配规则，而我们的设.....

阅读全文...