问日志文件聚合的Logstash vs Rsyslog

EN

如果我需要一些rsyslog没有的东西，我会在中间使用Logstash。例如，从IP地址获取GeoIP。

另一方面，如果需要在Elasticsearch中索引syslog或文件内容，则直接使用rsyslog。它可以执行缓冲(disk+memory)，过滤，您可以选择文档的外观(例如，您可以将文本的严重性而不是数字)，并且它可以解析非结构化数据。但是主要的优势是性能，rsyslog主要关注的是性能。下面是关于Logstash、rsyslog和Elasticsearch的一些数字(以及技巧和技巧)的演示文稿：http://blog.sematext.com/2015/05/18/tuning-elasticsearch-indexing-pipeline-for-logs/

我建议你放点东西。这将更容易设置，更多的例子，并测试，以配合在一起。

另外，在logstash中也有一些好处，您可以过滤和修改日志。

1. 您可以使用有用的数据扩展日志:服务器名称、时间戳、.
2. 转换类型、字符串到int等(用于正确的弹性指数)
3. 按某些规则过滤掉日志

此外，您还可以设置批次大小，以优化保存到弹性。另一个特性是，如果出了问题，每秒有大量的日志是弹性无法处理的，您可以设置logstash，它将保存一些事件队列或删除无法保存的事件。

如果您直接从服务器转到elasticsearch，您可以在其中获取基本文档(假设源是json，等等)。对我来说，logstash的功能是通过应用业务逻辑来修改和扩展日志来增加日志的价值。

这里有一个例子: syslog提供了一个优先级级别(0-7)。我不希望有一个值为0-7的饼图，因此我创建了一个新的字段，其中包含了可用于显示的漂亮名称("emerg“、”调试“等)。

举个例子..。