使用Elasticsearch还是Logstash输出？

Question

我已经阅读了一些关于使用beats将数据发送到elasticsearch的教程。

我注意到有些教程更喜欢使用logstash作为输出，然后输出到elasticsearch。其他一些教程直接输出到elasticsearch。

在配置/etc/packetbeat/packetbeat.yml中，即：

output.logstash:
  # The Logstash hosts
  hosts: ["localhost:5044"]

而不是：

output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["localhost:9200"]

Answer 1

使用logstash输出的输出是通过本地伐木协议实现的。在这些情况下，接收者很可能正在运行完全的日志存储，监听器在伐木端口上运行。这些逻辑上的吐露将做更复杂的转换，而不是拍子本身所能做的。logstash节点随后将修改后的事件发送到elasticsearch中。

[ host ] -> [ beats ] --> [ logstash ] --> [ elasticsearch ]

elasticsearch输出将直接将其发送到elasticsearch，并且所做的更改很少。

[ host ] -> [ beats ] --> [ elasticsearch ]