Logstash + Syslog 输入插件 VS Logstash + 文件输入插件 + Syslog 服务器

Logstash + Syslog Input Plugin VS Logstash + File Input Plugin + Syslog server

我有一个现有系统,它通过 Syslog 协议将日志条目发送到我的服务器。日志条目被写入本地文件,然后我使用 Logstash 使用其 文件输入插件 处理这些日志文件。 我喜欢它,因为即使 Logstash 出现故障(有时会发生),我也不会丢失任何日志。

我今天才发现 Logstash 还有一个 Syslog 输入插件 可以读取 Syslog 协议上的日志数据。

我想知道如果我关闭我的 Syslog 服务器,并通过 Logstash 的 Syslog 输入插件读取数据,我是否会有同样可靠的系统,或者如果 Logstash 出现故障,我会在期间丢失数据停机时间?

如果 Logstash 出现故障,您将在停机期间丢失数据。

此外,系统日志输入仅在您日志中的消息符合 RFC3164 时才有效,任何不同的情况下您都需要一个 grok 模式来解析该消息。

如果您不想再使用文件输入,您可以在您的系统日志服务器上创建一个规则,将消息重定向到您的 logstash 输入,在这种情况下,如果您的 logstash 出现故障,您仍然可以使用文件以填充缺失的数据。