Демистификация Logstash и Filebeat: руководство по входным портам

Logstash и Filebeat — важные компоненты стека ELK (Elasticsearch, Logstash, Kibana), широко используемые для управления журналами и обработки данных в современных приложениях. В этой статье блога мы рассмотрим концепцию входных портов в Logstash и Filebeat и обсудим различные методы их настройки и эффективного использования. Так что хватайте свой любимый напиток, расслабьтесь и давайте окунемся в мир входных портов!

Метод 1: входной порт TCP
Один из наиболее распространенных методов загрузки журналов в Logstash — настройка входного порта TCP. Это позволяет Logstash прослушивать входящие события журнала через TCP-соединение. Вот пример фрагмента конфигурации:

input {
  tcp {
    port => 5000
    codec => json
  }
}

Метод 2: входной порт UDP
Подобно TCP, Logstash также поддерживает входные порты UDP. UDP — это легкий транспортный протокол, который может быть полезен для высокоскоростных потоков журналов. Вот пример фрагмента конфигурации:

input {
  udp {
    port => 5001
    codec => plain
  }
}

Метод 3: входной порт системного журнала
Для обработки сообщений системного журнала Logstash предоставляет специальный плагин ввода системного журнала. Системный журнал — это стандартный протокол, используемый для ведения журналов в различных системах. Вот пример фрагмента конфигурации:

input {
  syslog {
    port => 514
  }
}

Метод 4: входной порт Filebeat
Filebeat, с другой стороны, представляет собой облегченный отправитель журналов, который безопасно собирает и пересылает журналы в Logstash или Elasticsearch. Чтобы настроить Filebeat с входным портом, вы можете использовать следующий фрагмент YAML:

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /path/to/log/file.log
  fields:
    log_type: application
output.logstash:
  hosts: ["logstash:5044"]

Метод 5: порт ввода Beats (Logstash)
Logstash также поддерживает специальный плагин ввода Beats, который позволяет ему получать журналы напрямую от различных Beats, включая Filebeat. Вот пример фрагмента конфигурации:

input {
  beats {
    port => 5044
  }
}

В этой статье мы рассмотрели различные методы настройки входных портов в Logstash и Filebeat. Независимо от того, предпочитаете ли вы TCP, UDP, системный журнал или выделенный вход Beats, эти методы обеспечивают гибкость в работе с различными источниками журналов и эффективную обработку данных журналов. Используя соответствующие входные порты, вы можете обеспечить беспрепятственный прием журналов и оптимизировать рабочий процесс управления журналами.