複数のLogstashインスタンスとFilebeatsの比較

Question

私たちの弾性スタックの実装に最適なアーキテクチャを確立しようとしています。

これらのネットワークのそれぞれに2つの異なるネットワーク（内線と外線と呼ぶことができます）と複数のWeb/db /アプリケーションサーバ（約10）があります。

私は、IISログ、rabbitMQメッセージ、および両方のネットワーク内のマシンからいくつかのビットとボブを消費して、弾力性とキバナのインストールが配置されている内部ネットワーク上の単一のサーバに送ります。

内部ネットワークと外部ネットワークの両方のサーバーでは、ログを弾力的に送信する2つの主要な方法があります。

1. 各サーバーでlogstashを設定し、内部ネットワーク上の弾性サーバーに出力を送信します。
各サーバー上
2. セットアップfilebeatsとlogstashを実行する単一のサーバーにログを送信する（これは弾性とkibanaホスト同じボックスすることができる）

私はでこれらのアプローチの長所と短所がわかりませんよ瞬間。私は正しいアプローチがFilebeatsを使うことだと信じていますが、ログの処理をより良く分散するように見えるので、なぜ私は複数の場所にlogstashを置かないのか分かりません。 もう一度、おそらく20-30の入力を持つ1つのlogstashを持つことは問題ではありませんか？

この地域の考えや指導にご関心があります。

Answer 1

LogstashはFilebeatよりもメモリの点では要求が厳しいです（特にgrokの解析など）。 Logstashは、少なくともJVM（JRubyを使用）を表します。 filebeatの場合、出荷ログ用に最適化されているため、そのフットプリントはずっと小さくなっていると思います（私はそれを使用していないので、私は言うことはできません）。

また、Logstashインスタンスまたはその設定に対して行う更新が複雑になります。

集中型Logstashでは、Elasticsearchインスタンスのアドレスを変更したり、redisのようなキャッシュにリダイレクトしたり、別の出力を追加したりするのが簡単な利点があります。また、Logstash（バージョン2. +では）を頻繁に再起動する必要があることもわかりました。そのため、対処するインスタンスが1つしかない場合は簡単です。

Logstashを複数の入力で使用したことはありません。私は言うことができません。私は、ログの集中システムの担当した仕事で

---

、我々はRedisのサーバーにログを出荷するビーバー（filebeat相当）を使用し、我々はElasticsearchにすべてを送信する二、三Logstashサーバーを持っていました。上記のコメントはすべてその期間に由来します。