VS
Дмитрий Стародубцев
Ну, фильтры были суровые, примерно вот такие:
if "squid" in [tags] {
grok {
match => {
"message" => "%{NUMBER:timestamp}\s+%{NUMBER:response_time} %{IPORHOST:src_ip} %{NOTSPACE:squid_request_status}/%{NUMBER:http_status_code} %{NUMBER:transfer_size} %{NOTSPACE:http_method} (%{URIPROTO:url_scheme}://)?(?<url_host>\S+?)(:%{INT:url_port})?(/%{NOTSPACE:url_path})?\s+%{NOTSPACE:client_identity}\s+>
}
}
prune {
remove_field => ["[agent][id]","[agent][ephemeral_id]","[agent][hostname]","[agent][type]","[agent][version]","[ecs][version]"]
}
}
Это только часть. Но даже если всё порезать нормально, то хранение логов для 5к юзеров за 30 дней - в эластике это гигабайты, а в sqstat и lightsquid мегабайты.
if "squid" in [tags] {
grok {
match => {
"message" => "%{NUMBER:timestamp}\s+%{NUMBER:response_time} %{IPORHOST:src_ip} %{NOTSPACE:squid_request_status}/%{NUMBER:http_status_code} %{NUMBER:transfer_size} %{NOTSPACE:http_method} (%{URIPROTO:url_scheme}://)?(?<url_host>\S+?)(:%{INT:url_port})?(/%{NOTSPACE:url_path})?\s+%{NOTSPACE:client_identity}\s+>
}
}
prune {
remove_field => ["[agent][id]","[agent][ephemeral_id]","[agent][hostname]","[agent][type]","[agent][version]","[ecs][version]"]
}
}
Это только часть. Но даже если всё порезать нормально, то хранение логов для 5к юзеров за 30 дней - в эластике это гигабайты, а в sqstat и lightsquid мегабайты.
Не, я про фильтры в самом эластике.