多Logstash情況VS Filebeats

Question

我試圖建立最好的架構，我們的彈性棧的實現。

我們有兩個不同的網絡（可以稱他們爲內部和外部）和這些網絡的幾個網絡/數據庫/應用服務器（大約10）。

我想在兩個網絡中使用IIS日誌，我們的rabbitMQ消息以及其他一些位和bob，並將它們發送到位於我的彈性和kibana安裝位置的內部網絡上的單個服務器。

有關內部和外部網絡上，我可以看到兩種主要的方式來獲取發送到彈性日誌服務器。

1. 在每臺服務器上安裝logstash，並將輸出發送到內部網絡上的彈性服務器。每個服務器上
2. 設置filebeats和日誌發送到一臺服務器上運行logstash（這可能是承載彈性相同的方塊和kibana）

我不確定這些方法的利弊此時此刻。我相信正確的方法是使用Filebeats，但我不知道爲什麼我不會將logstash放在多個位置，因爲看起來好像我會更好地分發日誌處理。 然後，也許有一個20-30輸入logstash是不是一個問題？

有興趣在這方面的任何想法或指導。

Answer 1

從我的文檔中讀取，Logstash是在很多的內存比Filebeat項要求更高，特別是如果你做一些治療上的日誌（如神交解析）。 Logstash至少代表一個JVM（使用JRuby）。對於filebeat，我認爲它的佔用空間要小得多，因爲它針對發貨日誌進行了優化（我從未使用它，所以我不能說）。

此外，它會使您想要對Logstash實例或其配置進行的任何更新變得複雜。

對於集中的Logstash，其優點是可以輕鬆地更改Elasticsearch實例的地址，重定向到緩存（如redis）或添加其他輸出。我還發現需要頻繁重新啓動的Logstash（在版本2+中），所以如果只有一個實例需要處理，這會更容易。

我從來沒有使用Logstash多輸入，所以我不能說。

---

在我負責日誌集中化系統的工作，我們使用的海狸（一filebeat當量）的日誌運送到一個Redis的服務器，我們有兩個或三個Logstash服務器發送一切Elasticsearch。以上所有評論均來自該時期。