我目前正面临logstash的结构问题。我有一个 syslog-ng 客户端通过网络将来自不同文件的日志发送到 ELK 堆栈。
我注意到 Logstash 正在混合日志,尤其是多行,将异常行添加到其他文件的非错误日志中。所以,我想问题在于我的日志在处理时与它们的文件来源没有任何区别。我找到了两种避免这种情况的方法,但它们并不是 imo 的最佳选择:
- 不要使用 syslog-ng,而是使用 FileBeat 并为每个文件添加一个标签,以识别它们的来源。然后,根据这个标签用 Logstash 解析我的日志。问题是必须使用 syslog-ng 作为客户端,如果我必须更改它会困扰我
- 更改我的 syslog-ng 源以将每个日志文件发送到 ELK 上的不同端口。我发现这有点脏,并且可能会因为大量的日志文件而感到尴尬
你怎么看?我错过了更好的解决方案吗?有没有办法像 syslog-ng 中的 filebeat 一样添加标签?
谢谢你的帮助