我目前正在使用filebeat将日志转发到logstash,然后转发到elasticsearch。
现在,我正在考虑通过rsyslog将日志转发到logstash。这样做的好处是,我不需要在每台服务器上安装和配置filebeat,而且我也可以转发JSON格式的日志,这种格式很容易解析和过滤。
我可以使用TCP / UDP通过rsyslog将日志转发到logstash。
我想知道rsyslog相对于filebeat在性能,可靠性和易用性方面的优势和缺点。
答案 0 :(得分:8)
当您将Beats与Logstash结合使用时,您会遇到一种称为“背压管理”的事情 - 例如,如果网络出现问题,Beats将停止使用消息充斥Logstash服务器。
使用Beats的另一个好处是,在Logstash中,您可以拥有持久队列,这可以防止您在弹性搜索群集出现故障时丢失日志消息。因此Logstash会将消息保留在磁盘上。请注意,因为如果您使用UDP,Logstash无法确保您不会丢失消息,this link会有所帮助。
答案 1 :(得分:0)
Rsyslog具有内存中磁盘队列。那应该注意缓冲消息。