1. Accueil
  2. Question et réponse
  3. Sortie UDP à partir de Logstash

Sortie UDP à partir de Logstash

2013-05-01 3 views
3

J'ai des journaux que je veux utiliser pour assembler logstash. Il s'agira de l'agent logstash en tant qu'expéditeur sur les serveurs source et se rendant sur un serveur de consignation central. Je veux utiliser UDP de l'expéditeur au journal central afin que je puisse être totalement isolé si l'enregistreur échoue (je ne veux pas que les 70 serveurs de production soient affectés de quelque façon que ce soit). La seule façon que je peux voir de l'utilisation d'udp pour le transport est de produire en utilisant le format syslog. Est-ce que quelqu'un sait d'une façon que je peux produire UDP nativement à partir de logstash? (Les docs le suggèrent mais il me manque quelque chose sur le côté TCP?)Sortie UDP à partir de Logstash

Source

2013-05-01 Maestairs

Répondre

0

Vous pouvez sortie UDP en utilisant nativement le plugin de sortie UDP

En définissant le champ codec, vous pouvez choisir ce format de sortie que vous voulez (par exemple JSON)

Source

2013-10-03 04:15:04 tomdee

+0

Cela peut semble évident une fois que vous le savez, mais assurez-vous que le codec soit le même du côté de l'expéditeur et du côté serveur - cela m'a pris du temps pour comprendre que les événements ne se passaient pas avant que je m'en aperçoive. –

1

Je crois comprendre que l'approche typique serait d'utiliser quelque chose d'un peu plus léger (rsyslog, ou même Lumberjack) fonctionnant sur la machine distante , c'est-à-dire envoyer des données à votre serveur central de journalisation.

Il semble que vous souhaitiez que les agents logstash (redirecteurs) soient en cours d'exécution sur chaque serveur et qu'ils envoient les données au courtier. Ce blog post (aussi lié comme exemple ci-dessous), explique pourquoi ils ont choisi de ne pas utiliser les redirecteurs logstash sur leurs serveurs distants - ils mangent trop de RAM

J'utilise une configuration où rsyslog envoie des données UDP à logstash directement. J'ai également utilisé une configuration où rsyslog était le serveur de journalisation de réception, et agrégé les journaux dans des fichiers journaux distincts (basés sur le nom d'hôte du serveur), puis logstash lire à partir de ces fichiers.

Pour quelques exemples configs voir ce qui suit:

Je propose l'approche rsyslog, les chances que rsyslog est déjà en cours d'exécution sur votre serveur est plus élevé que Bûcheron . Il y a aussi beaucoup plus de documentation sur rsyslog que Lumberjack. Commencez simple, et ajoutez plus de complexité plus tard, si vous en ressentez le besoin.

Source

2013-05-19 09:05:26 Adam

Questions connexes

 Questions connexes