我有一个现有的系统,通过Syslog协议将日志条目发送到我的服务器。日志条目写入本地文件,然后使用其文件输入插件使用Logstash处理这些日志文件。我喜欢它,因为即使Logstash发生故障(有时会发生),我也不会丢失任何日志。
我今天刚刚意识到Logstash还有一个Syslog输入插件,能够读取Syslog协议上的日志数据。
我想知道我是否关闭了我的Syslog服务器,并通过Logstash的Syslog输入插件读取数据,我是否拥有相同的可靠系统,或者如果Logstash发生故障,我将在停机期间丢失数据?
如果Logstash发生故障,您将在停机期间丢失数据。
此外,syslog输入仅在日志中的消息符合RFC3164,任何不同的情况下才有效,您需要一个grok模式来解析该消息。
如果您不想再使用文件输入,则可以在syslog服务器上创建规则以将消息重定向到logstash输入,在这种情况下,如果您的logstash关闭,您仍将拥有填充缺失的文件数据。