我是ELK的新手,我一直在努力了解什么是最好的方式来组织将日志运送到logstash。
我所拥有的:
- 许多REST API服务正在运行
- 许多执行不同类型处理的服务
- Mongo数据库副本集
- 一切都在Docker容器中运行
- ELK和Filebeat也在docker中
- 使用docker-compose整个基础架构起伏不定
- 对于UAT / Dev / QA,我只有一台服务器可用于所有服务
- 对于Prod,我当然有多台服务器来提升基础架构
我想以不同的方式处理所有日志,这意味着我想应用不同的模式来解析它(使用grok),并且我想知道什么日志来自什么服务(我打算在这里使用日志名称或类似的东西) )。
参考上面的内容,我谨记以下选项:
- 将Filebeat的安装添加到每个docker映像并为每个服务配置它
- 使用每个服务的Filebeat图像运行许多出色的Docker容器
- 将所有日志转发到一个卷并具有一个Filebeat实例
在我的情况下,最佳选择是什么?如果您能分享您的想法,我将不胜感激。