Logstash + Syslog 输入插件 VS Logstash + 文件输入插件 + Syslog 服务器
Logstash + Syslog Input Plugin VS Logstash + File Input Plugin + Syslog server
我有一个现有系统,它通过 Syslog 协议将日志条目发送到我的服务器。日志条目被写入本地文件,然后我使用 Logstash 使用其 文件输入插件 处理这些日志文件。
我喜欢它,因为即使 Logstash 出现故障(有时会发生),我也不会丢失任何日志。
我今天才发现 Logstash 还有一个 Syslog 输入插件 可以读取 Syslog 协议上的日志数据。
我想知道如果我关闭我的 Syslog 服务器,并通过 Logstash 的 Syslog 输入插件读取数据,我是否会有同样可靠的系统,或者如果 Logstash 出现故障,我会在期间丢失数据停机时间?
如果 Logstash 出现故障,您将在停机期间丢失数据。
此外,系统日志输入仅在您日志中的消息符合 RFC3164 时才有效,任何不同的情况下您都需要一个 grok 模式来解析该消息。
如果您不想再使用文件输入,您可以在您的系统日志服务器上创建一个规则,将消息重定向到您的 logstash 输入,在这种情况下,如果您的 logstash 出现故障,您仍然可以使用文件以填充缺失的数据。
我有一个现有系统,它通过 Syslog 协议将日志条目发送到我的服务器。日志条目被写入本地文件,然后我使用 Logstash 使用其 文件输入插件 处理这些日志文件。 我喜欢它,因为即使 Logstash 出现故障(有时会发生),我也不会丢失任何日志。
我今天才发现 Logstash 还有一个 Syslog 输入插件 可以读取 Syslog 协议上的日志数据。
我想知道如果我关闭我的 Syslog 服务器,并通过 Logstash 的 Syslog 输入插件读取数据,我是否会有同样可靠的系统,或者如果 Logstash 出现故障,我会在期间丢失数据停机时间?
如果 Logstash 出现故障,您将在停机期间丢失数据。
此外,系统日志输入仅在您日志中的消息符合 RFC3164 时才有效,任何不同的情况下您都需要一个 grok 模式来解析该消息。
如果您不想再使用文件输入,您可以在您的系统日志服务器上创建一个规则,将消息重定向到您的 logstash 输入,在这种情况下,如果您的 logstash 出现故障,您仍然可以使用文件以填充缺失的数据。