0

我们使用 fluent in_tail 插件从 apache 访问日志文件加载日志,并使用 out_mongo 插件加载到 mongodb。我们在日志文件中有大约 10 种不同类型的日志消息。理想情况下,希望将它们保存在单独的 mongo 集合中,以便可以为每个集合单独设置 TTL(或上限集合大小)。只想知道这两种方法中哪一种更好:

  1. 在 fluent 配置文件中保留单独<source>的映射,所有这些映射都尾随同一个日志文件,但使用不同的正则format表达式。然后我可以match将这些中的每一个添加到不同的 mongo 集合中。(我相信不可能在一个元素format中为多个标签指定多个正则表达式?)<source>

  2. 将所有日志存储在一个“原始”mongo 集合中,然后编写我自己的代码来为不同类型提取不同类型的日志。我相信这个选项最适合性能,但不确定第一种方法是否真的很糟糕。

4

0 回答 0