Logstash + Syslog 输入插件 VS Logstash + 文件输入插件 + Syslog 服务器

Posted 2023-02-22

【中文标题】Logstash + Syslog 输入插件 VS Logstash + 文件输入插件 + Syslog 服务器

【英文标题】：Logstash + Syslog Input Plugin VS Logstash + File Input Plugin + Syslog server

【发布时间】：2019-02-15 10:30:01

【问题描述】：

我有一个现有系统，它通过 Syslog 协议将日志条目发送到我的服务器。日志条目被写入本地文件，然后我使用 Logstash 的 文件输入插件 处理这些日志文件。 我喜欢它，因为即使 Logstash 出现故障（有时会发生），我也不会丢失任何日志。

我今天才意识到，Logstash 还有一个Syslog 输入插件，它能够读取 Syslog 协议上的日志数据。

我想知道如果我关闭我的 Syslog 服务器，并通过 Logstash 的 Syslog 输入插件读取数据，我是否会有同样可靠的系统，或者如果 Logstash 出现故障，我会在停机期间丢失数据？

【参考方案1】：

如果 Logstash 出现故障，您将在停机期间丢失数据。

此外，系统日志输入仅在您的日志中的消息符合 RFC3164 时才有效，如果有任何不同，您将需要一个 grok 模式来解析该消息。

如果您不想再使用文件输入，您可以在 syslog 服务器上创建一条规则，将消息重定向到您的 logstash 输入，在这种情况下，如果您的 logstash 出现故障，您仍然可以将文件保存到填补缺失的数据。