我在 Amazon AWS 上有许多 CoreOS 服务器,我想从它们那里收集事件或日志,并将它们转发到我的 ELK 堆栈提供商 logz.io。
我对 ELK 堆栈还不熟悉,不知道如何才能最好地提取数据。有人建议我使用 filebeat。但 filebeat 适用于普通日志文件,目前大多数数据都被输入到 journald 中。
我的所有服务都在 docker 上运行,我发现 docker 有记录驱动程序的功能。我能以某种方式插入它吗?
有一个名为 journalbeat 的项目看起来很有前途,但不完整,目前转发所有内容。我只想要特定的单元和特定的事件。所以我可能必须研究一下这个项目才能让它满足我的需要。但是,在我进一步研究之前,还有其他方法吗?
例如,我可以在机器上运行另一个轻量级服务,该服务可能会接受日志事件并转发它们。只要它不是 logstash,因为它会消耗我内存和 CPU 受限的 aws 实例上的太多资源。
我肯定不是唯一遇到此类问题的人。
答案1
有一个用于“gelf”的 Docker 日志驱动程序,以及一个可以理解 gelf 格式的 Logstash 输入插件。这可能是最直接的方法。