Dois-je utiliser plusieurs entrées de battements dans Logstash?

10

Après quelques recherches sur le beatsplugin d'entrée et spécialement cette réécriture, je me demande si je ne devrais utiliser qu'une seule entrée ou plusieurs temps pour gérer plusieurs types d'entrée.

J'aurai des événements provenant d'environ 500 machines, avec une distribution Windows / Linux 20/80. Je prévois d'utiliser plusieurs rythmes shipper, filebeat, metricbeat et peut-être packetbeat.

Y a-t-il un intérêt à utiliser une entrée par couple type / os ou est-ce qu'une seule entrée et "si type = ..." dans le pipeline de filtrage suffiraient?

architecture  performance  logstash 
Tensibai
source

Réponses:

6

Donc, pas encore beaucoup de référence, mais après une inspection rapide du code et un tas de lecture sur netty et logstash dans la version 5, l'entrée n'est pas le goulot d'étranglement à craindre.

L'équipe Logstash a mis beaucoup de travail dans la façon dont les plugins de filtres et de sorties sont exécutés en parallèle, le plugin d'entrée beats attend un lot d'événements, et le problème de performances a en effet été résolu dans la version 3.1.0 par la réécriture que j'ai citée dans la question.

Tensibai
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.