Devo usar a entrada de várias batidas no Logstash?

10

Após algumas pesquisas em torno do beatsplug-in de entrada e, especialmente, dessa reescrita , pergunto-me se devo usar apenas uma entrada de batida ou múltiplos para manipular vários tipos de entrada.

Terei eventos provenientes de aproximadamente 500 máquinas, com uma distribuição Windows / Linux 20/80. Eu pretendo usar múltiplos remetentes de batidas , batidas de arquivos, metricbeat e talvez packetbeat.

Existe um interesse em usar uma entrada por par de tipos / so ou apenas uma entrada e "se tipo = ..." no pipeline do filtro são suficientes?

architecture  performance  logstash 
Tensibai
fonte

Respostas:

6

Portanto, ainda não foi muito comparado, mas após uma rápida inspeção de código e várias leituras sobre netty e logstash na versão 5, a entrada não é o gargalo para se preocupar.

A equipe do Logstash trabalhou bastante na maneira como os filtros e os plug-ins de saída são executados em paralelo, o plug-in beats aguarda um lote de eventos e o problema de desempenho foi realmente resolvido na versão 3.1.0 pela reescrita que citei na pergunta.

Tensibai
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.