我目前正在使用filebeat将日志转发到logstash,然后转发到elasticsearch。
现在,我正在考虑通过rsyslog将日志转发到logstash。这样做的好处是,我不需要在每台服务器上安装和配置filebeat,而且我也可以转发JSON格式的日志,这种格式易于解析和过滤。
我可以使用TCP / UDP通过rsyslog将日志转发到logstash。
我想知道rsyslog优于filebeat的优点和缺点,包括性能,可靠性和易用性。
当您将Beats与Logstash结合使用时,您会遇到一种称为“背压管理”的东西 - 例如,如果网络出现问题,Beats将停止使用消息充斥Logstash服务器。
使用Beats的另一个好处是,在Logstash中,您可以拥有持久队列,这可以防止您在弹出搜索群集出现故障时丢失日志消息。因此Logstash会将消息保留在磁盘上。请注意,因为如果您使用UDP,Logstash无法确保您不会丢失消息,this link将会有所帮助。
Rsyslog具有内存中的磁盘队列。这应该负责缓冲消息。