ELK 堆栈中的 Logstash 和 filebeat

Question

我们正在服务器上设置 elasticsearch、kibana、logstash 和 filebeat，以分析来自许多应用程序的日志文件。由于原因*，每个应用程序日志文件最终都位于 ELK 服务器上的单独目录中。我们有大约 20 个日志文件。

1. 据我了解，我们可以为每个运行一个 logstash 管道配置文件 应用程序日志文件。这将是一个正在运行的 logstash 实例 有 20 条并行管道，每条管道都需要自己的 击败港口。请确认这是否正确？
2. 我们可以运行一个 filebeat 实例，还是每个都需要一个 管道/日志文件？
3. 此架构是否可行，或者您是否发现任何主要缺点？

谢谢！

*不同的供应商负责不同的应用程序，他们跨多个不同的操作系统运行，其中许多不会或不能安装像 filebeats 这样的东西。

Answer 1

我们不建议从网络卷中读取日志文件。每当 可能，在主机上安装 Filebeat 并发送日志文件 直接从那里。从网络卷中读取文件（尤其是在 Windows）可能会产生意想不到的副作用。例如，更改的文件 标识符可能会导致 Filebeat 从头开始​​读取日志文件 再次。

Reference

我们始终建议在远程服务器上安装 Filebeat。使用 不支持共享文件夹。典型的设置是你有一个 Logstash + Elasticsearch + Kibana 在一个中心位置（一个或多个 服务器）和 Filebeat 安装在您所在的远程计算机上 正在收集数据。

Reference

对于一个运行的 filebeat 实例，您可以通过定义多个输入部分来将不同的配置设置应用于不同的文件，如下例，check here for more

filebeat.inputs:

- type: log

  enabled: true
  paths:
    - 'C:\App01_Logs\log.txt'
  tags: ["App01"]
  fields: 
    app_name: App01

- type: log
  enabled: true
  paths:
    - 'C:\App02_Logs\log.txt'
  tags: ["App02"]
  fields: 
    app_name: App02

- type: log
  enabled: true
  paths:
    - 'C:\App03_Logs\log.txt'
  tags: ["App03"]
  fields: 
    app_name: App03

您可以在过滤器中使用带有 if 语句的 logstash 管道

filter {

    if [fields][app_name] == "App01" {

      grok { }

    } else if [fields][app_name] == "App02" {

      grok { }

    } else {

      grok { }

    }
}

条件也可以是 if "App02" in [tags] 或 if [source]=="C:\App01_Logs\log.txt"，因为我们从 filebeat 发送