Sollte ich in Logstash mehrere Beats eingeben?

10

Nach einigen Recherchen rund um das beatsEingabe-Plugin und speziell diesem Umschreiben frage ich mich, ob ich nur einen Beat-Eingang oder mehrere verwenden sollte, um mehrere Eintragstypen zu verarbeiten.

Ich werde Ereignisse von ungefähr 500 Computern mit einer 20/80 Windows / Linux-Distribution haben. Ich plane, mehrere Beats Shipper , Filebeat, Metricbeat und vielleicht Packetbeat zu verwenden.

Gibt es ein Interesse daran, einen Eingang pro Typ / Betriebssystem-Paar zu verwenden, oder würde nur ein Eingang und "wenn Typ = ..." in der Filterpipeline ausreichen?

architecture  performance  logstash 
Tensibai
quelle

Antworten:

6

Also immer noch nicht viel Benchmarking, aber nach einer kurzen Code-Inspektion und einigem Lesen über Netty und Logstash in Version 5 ist die Eingabe nicht der Engpass, über den man sich Sorgen machen muss.

Das Logstash-Team hat eine Menge Arbeit in die parallele Ausführung der Filter- und Ausgabe-Plugins gesteckt, das Beats-Eingabe-Plugin wartet auf eine Reihe von Ereignissen, und das Leistungsproblem wurde in Version 3.1.0 durch das von mir zitierte Umschreiben tatsächlich gelöst in der Frage.

Tensibai
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.