我计划使用Elasticsearch记录我的所有应用程序活动(如审核日志)。
考虑到我如何直接控制应用程序,我应该使用他们的REST API直接将数据推送到Elasticsearch,还是应该使用Logstash将数据提供给Elasticsearch?
当我可以直接将数据推送到Elasticsearch时,是否有任何理由我应该使用Logstash?它是一个需要管理的附加层。
答案 0 :(得分:6)
如果需要解析不同的日志格式(eventlog,syslog等),请使用Logstash支持不同的传输(UDP,TCP等)和日志输出。如果http对您有用,并且您只从一个应用程序收集日志,请直接使用ES。 Logstash是一个额外的工具。详细信息为here。