何谓最佳做法，将多个弹性打击扩展至集中测井？

Question

我的目标是查看100多台机器的日志，这些机器连接到一个集中式Logstash实例，输出到一个Elasticsearch集群，从5台机器开始。

扩展这类应用程序的最佳实践是什么，或者有什么好的文章可读，或者是否有任何示例？

我对此做了大量的研究，我发现的唯一的事情就是对每一个实例进行横向测量：

• 标尺测井
• 尺度弹性搜索

但我认为还有很多事情要考虑。

如有其他意见，将不胜感激。

Answer 1

这在很大程度上取决于您的每个logstash实例必须做的解析。例如，我从只有一个logstash实例的100+机器收集apache日志，该实例运行在elk集群的一个节点上，没有任何问题。Grok解析往往占用大量资源。因此，我要做以下几点：

• 安装一个Logstash实例
• 缓慢地添加客户端并监视系统的性能
• 一旦达到自己的阈值，就添加另一个logstash实例。

哇！)