我有一个现有的系统,该系统通过Syslog协议将日志条目发送给我的服务器。日志条目被写入本地文件,然后使用Logstash的文件输入插件处理这些日志文件。 我喜欢它,因为即使Logstash发生故障(有时会发生),我也不会丢失任何日志。
今天我才意识到Logstash还具有一个 Syslog输入插件,该插件能够读取Syslog协议上的日志数据。
我想知道是否关闭Syslog服务器并通过Logstash的Syslog输入插件读取数据,我是否具有相同的可靠系统,或者如果Logstash出现故障,我会在停机期间丢失数据吗?
答案 0 :(得分:0)
如果Logstash发生故障,那么您将在停机期间丢失数据。
此外,仅当日志中的消息符合RFC3164时,才进行syslog输入,无论有什么不同,您都需要一个grok模式来解析该消息。
如果您不想再使用文件输入,则可以在syslog服务器上创建一条规则以将消息重定向到Logstash输入,在这种情况下,如果Logstash出现故障,您仍然可以将文件填写丢失的数据。