主题
Logstash 与 Filebeat
Logstash 和 Filebeat 是 ELK Stack 中两个关键的数据采集组件,分别负责数据处理和轻量级采集,满足不同的业务需求。
1. Logstash
- 功能强大,支持复杂的数据采集、过滤和转换
- 支持多种输入(Input)、过滤(Filter)和输出(Output)插件
- 可对日志进行解析、格式化、脱敏等处理
- 通常部署在服务器端,处理大量数据
2. Filebeat
- 轻量级日志采集器,专注于文件数据读取和转发
- 占用资源少,易于部署在边缘节点和服务器上
- 支持多种模块快速采集常见日志格式
- 通常负责采集日志文件并发送到 Logstash 或 Elasticsearch
3. 工作流程比较
| 功能 | Logstash | Filebeat |
|---|---|---|
| 采集方式 | 多种输入插件 | 读取日志文件 |
| 数据处理 | 复杂过滤和转换 | 轻量级无处理 |
| 部署位置 | 中央服务器 | 边缘节点或服务器 |
| 资源占用 | 较高 | 较低 |
4. 典型使用场景
- Filebeat + Logstash + Elasticsearch:Filebeat 负责采集日志,Logstash 负责复杂处理,Elasticsearch 存储索引
- Filebeat 直发 Elasticsearch:适合无需复杂处理的小型环境
合理搭配 Logstash 与 Filebeat,可构建灵活高效的数据采集与处理管道。