我正在尝试设置中央logstash配置。但是,我想通过syslog-ng而不是第三方托运人发送我的日志。这意味着我的logstash服务器正在通过syslog-ng接受来自代理的所有日志。
然后我需要安装一个logstash进程,该进程将从/ var / log / syslog-clients / *读取并获取发送到中央日志服务器的所有日志文件。然后,这些日志将被发送到同一VM上的redis。
理论上我还需要配置第二个logstash进程,该进程将从redis读取并开始索引日志并将其发送到elasticsearch。
我的问题:
即使我在同一个框中(我想要一个日志服务器实例),我是否必须使用两个不同的logstash进程(发货人和服务器)?有没有办法只有一个logstash配置,并从syslog-ng --->读取进程?写信给redis,也读redis --->输出到弹性搜索?
我的设置图:
[客户] ------- syslog-ng的---> [log server] --- syslog-ng< ---- logstash-shipper ---> redis< ---- logstash-server ---->弹性搜索< --- kibana
答案 0 :(得分:1)
我是否必须使用两个不同的logstash进程(发货人和服务器),即使我在同一个框中(我想要一个日志服务器实例)?
是
有没有办法只有一个logstash配置,并从syslog-ng --->读取进程写信给redis,也读redis --->输出到弹性搜索?
不是我见过的。
你为什么要这样?我有一台机器和远程机器配置,它们工作非常可靠,占地面积小。也许你可以解释一下你的推理 - 我知道我很想知道它。