Я привык отправлять свои журналы с сервера на удаленный Logstash с помощью rsyslog с файлом конфигурации примерно следующим образом (обычно более конкретным, чтобы предотвратить отправку слишком большого количества журналов):
*.* @192.168.5.5:5000
Сейчас я начинаю работу на сервере, на котором не запущен syslog, но вместо этого используется journald. Есть ли аналогичный способ отправки журналов в Logstash с помощью journald, как это делается с помощью Syslog, или это требует дополнительной работы? Я не могу найти в Интернете много информации об использовании Logstash с journald.
Официальной поддержки нет, но есть открытая проблема, чтобы добавить его. Оказывается, есть несколько плагинов, которые используют эту поддержку, в частности logstash-input-journald.
Вы можете указать журналу отправлять сообщения в rsyslog, добавив ForwardToSyslog=yes в /etc/systemd/journald.conf
Теперь есть journalbeat, чтобы анализировать журналы journald напрямую и отправлять их в logstash