设置如下:
- Syslog 发送内容到 logstash
- logstash 将其解析为 GELF
- logstash 将其发送到 graylog
我知道 Logstash 使用 elasticsearch,graylog 也使用 elasticsearch,并且在我的设置中,elasticsearch 服务器彼此不同。
问题如下:
当我使用此标志运行 logstash--backend 'elasticsearch:///?local'并将数据发送到 graylog 时,我看到了大量数据。
但是由于我知道我请求的所有数据(即来自 graylog 仪表板的数据)都来自 graylog 使用的 elasticsearch,因此我决定在没有 elasticsearch 设置的情况下运行 logstash jarfile。
删除上述标志后,吞吐量计数下降了 10 倍。
有人知道为什么会发生这样的事吗?
当我使用该--backend 'elasticsearch:///?local'设置运行 logstash 时,吞吐量计数是否恢复正常?
我想弄清楚为什么 logstash 中的 elasticsearch 与此相关?我不需要 logstash 的 Web 界面,只需要 graylog 仪表板。
谢谢
答案1
也许 logstash 正在通过 UDP 发送 GELF 格式的数据,而 graylog 无法跟上流量?