Logstash託運人和服務器在同一個盒子

Question

我正在嘗試設置中央logstash配置。不過，我想通過syslog-ng發送我的日誌，而不是第三方託運人。這意味着我的logstash服務器正在通過系統日誌接受來自代理的所有日誌。

然後我需要安裝logstash進程，該進程將從/ var/log/syslog-clients/*讀取並獲取發送到中央日誌服務器的所有日誌文件。這些日誌然後將被髮送到同一虛擬機上的redis。

理論上，我還需要配置第二個logstash進程，該進程將從redis中讀取並開始索引日誌並將其發送給elasticsearch。

我的問題：

我必須使用兩種不同的logstash進程（託運人&服務器），即使我在同一個盒子（我想有一個日誌服務器實例）？有沒有辦法只有一個logstash配置，並從syslog-ng讀取進程--->寫入redis並從redis讀取--->輸出到彈性搜索？

圖我的設置：

[客戶] ------- syslog-ng的---> [日誌服務器] --- syslog-ng的< ---- logstash出貨單 - - > Redis的< ---- logstash服務器---->彈性搜索< --- kibana

Answer 1

我必須使用兩種不同的logstash進程（託運人&服務器），即使我在同一個盒子（我想要一個日誌服務器實例）？

是的。

有沒有什麼辦法只是有一個logstash配置，並從syslog-ng --->寫入到redis，並從redis --->輸出到彈性搜索讀取？

不是我見過呢。

爲什麼要這麼做？我有一臺機器和遠程機器配置，它們的工作非常可靠，佔地面積小。也許你可以解釋一下你的推理 - 我知道我會有興趣聽到它。