Дружим ELK и Exchange. Часть 2

[vs_starosta]

Мне одно не понятно, почему logstash на Windows и не в docker контейнере.

[buldakov]

Чтобы был повод написать ещё одну статью

[gecube]

Извините, я тупой, я ничего не понял

• почему IIS? Это логи веб-интерфейса OWA, что ли?
• где архитектурная схема решения? Как обеспечивается отказоустойчивость логстэша? Он на отдельной ВМ? А если нужно несколько логстэшей? Или логстэш на той же машинке, что и Exhange? Не слишком ли ресурсоемко?
• зачем вообще в этой модели логстэш, если все «биты» умеют слать напрямую в эластик (там тогда разбор логов в самой ингест ноде эластика происходит)
• разве exchange не умеет в нативные логи винды, которые можно через event viewer смотреть, а не только в файловые логи? Это же надежнее, наверное?

[buldakov]

1. Да, IIS. Это и логи всех клиентских сессий OWA и логи всех клиентских сессий MAPI\HTTP и логи клиентский обращений к службе автообнаружения и логи ещё полудюжины служб, которые Exchange держит поверх IIS.
2. Смысл этой статьи не в том, чтобы предложить готовое решение. Поэтому никакой архитектурной схемы не планировалось и не будет. То же самое с отказоустойчивостью — если необходимо — реализуйте теми средствами, которые вам доступны. Держать logstash на сервере Exchange конечно же не стоит.
3. Это можно настроить, если есть административные права на эластик. А если их нет?
4. Exchange умеет и в нативные логи. Но писать каждую пользовательскую сессию в нативный лог это немного самонадеянно. Поэтому все клиентские сессии пишутся в текстовые логи. Административные события Exchange конечно же пишет в Event Log. Более того, эти логи конечно же можно при необходимости затягивать в эластик.