绕过Logstash混合日志的解决方案

Question

我目前正面临logstash的结构问题。 我有一个syslog-ng客户端，它通过网络将来自不同文件的日志发送到ELK堆栈。

我注意到Logstash正在混合日志，尤其是多行，并在其他文件的非错误日志中添加了异常行。因此，我想麻烦是我的日志与文件的来源没有任何区别。我发现了两种避免这种情况的方法，但是它们并不是最佳的imo：

• 使用FileBeat代替使用syslog-ng，并为每个文件添加一个标记，以标识其来源。然后，根据此标签使用Logstash解析我的日志。问题是必须使用syslog-ng作为客户端，如果我必须更改它会打扰我
• 更改我的syslog-ng源，将每个日志文件发送到ELK上的不同端口。我发现它有点脏，并且会给大量日志文件带来尴尬

您对此有何看法？我错过了更好的解决方案吗？ 有没有办法像syslog-ng中的filebeat一样添加标签？

感谢您的帮助