我有一些日志,我想使用logstash进行整理。它将作为源服务器上的托运人的logstash代理程序进入中央日志记录服务器。我想使用UDP从托运人到中央日志,所以如果记录器失败我可以完全隔离(我不希望70个奇怪的生产服务器以任何方式受到影响)。我可以看到使用udp进行传输的唯一方法是使用syslog格式输出。有没有人知道我可以从logstash本地输出UDP的方法? (文档暗示它但我必须在TCP方面遗漏一些东西?)
答案 0 :(得分:1)
我的理解是,典型的方法是使用在远程计算机上运行的更轻量级(rsyslog,甚至是Lumberjack),即将数据发送到中央logstash服务器。
听起来您希望logstash代理(转发器)在每台服务器上运行并将数据发送到代理。此博客post(也作为示例链接在下面)给出了一个很好的解释,说明为什么他们选择不在远程服务器上使用logstash转发器 - 它们占用太多RAM
我使用一个设置,其中rsyslog直接将UDP数据发送到logstash。我还使用了一个设置,其中rsyslog是接收日志服务器,并将日志聚合到单独的日志文件中(基于服务器主机名),然后从这些文件中读取logstash。
对于某些示例配置,请参阅以下内容:
我建议使用rsyslog方法,因为rsyslog已经在你的服务器上运行的可能性高于Lumberjack。此外,关于rsyslog还有比Lumberjack更多的文档。如果你觉得有必要的话,可以从简单开始,稍后增加更多的复杂性。
答案 1 :(得分:0)