로그 집계/분석을 위해 ELS 및 Kibana를 설치하고 있습니다. 그것을 사용하는 첫 번째 시스템은 greenfield이므로 시스템을 구성하는 서비스에서 구조화 된 로그를 출력합니다. 로그에 구조를 추가 할 필요가 없다는 것을 감안할 때 FileBeat를 사용하여 로그를 ELS로 직접 보내고 LogStash를 사용하지 않을 계획이었습니다. 이것이 합리적인 선택인가요? 아니면 LogStash가 우리가 필요로하는 파싱 이상의 가치가 있습니까? LogStash를 사용하면 로그 파일을 수집하는 데 사용할 수 있습니까? 아니면 FileBeat를 사용하여 로그를 LogStash로 보내야합니까?FileBeat를 ELS 또는 LogStash를 통해 직접 받으시겠습니까?
Logstash는 여러 서버의 로그를 집계하고 몇 가지 일반적인 변환과 필터링을 이벤트에 적용해야하는 경우에 유용합니다.
로그 이벤트가 이미 구조화되어 있고 직접 인덱싱 할 수 있다면 Filebeat에서 직접 ES로 보낼 수 있습니다. ES가 다운되면 (예 : 유지 보수) Filebeat는 이벤트를 성공적으로 보낼 수있을 때까지 재 시도합니다.
LogStash는 합리적인 선택인가요? 아니면 우리가 필요로하는 이상 파싱 가치가 있습니까?
Logstash를 사용할지 여부를 결정하는 것은 로그를 ES에 삽입하기 전에 처리해야하는지에 따라 다릅니다.
, 당신은 geoip filter와 위치를 추가 Logstash을 사용할 수 있습니다 (귀하의 사용 사례에서 분명히 쓸모가있는) 구문 분석뿐만 아니라,와 데이트를 구문 분석 date filter, replace a word with another는, replace a field with a hash이 ...
당신은 가질 수 사용 가능한 필터 here을 살펴보십시오.
LogStash를 사용하면 로그 파일을 수집하는 데 사용할 수 있습니까? 아니면 FileBeat를 사용하여 LogStash로 로그를 보내야합니까?
Logstash가 필요하고 로그가있는 컴퓨터에서 실행할 수있는 경우 파일 입력을 사용하여 파일 비트를 사용하지 않아도됩니다.
Logstash는 특히 구문 분석에 사용되는 경우 많은 리소스를 소비 할 수 있으므로 다른 시스템에서 사용하고 Filebeat를 사용하여 Logstash로 로그를 전송하는 것이 좋습니다.
무제한 시도를 위해, 당신은 당신의 설정'filebeat.yml'에'max_retries : -1' 줄을 설정해야합니다. 그렇지 않으면 단지 3 번 시도하고 종료합니다 (기본값 = 3). 우리의 설정에서 우리는 또한 버퍼 역할을하는 Redis를 가지고 있지만 옵션은 그 경우에도 여전히 유용합니다 (redis도 내려갈 수 있습니다). –