Настройка выглядит следующим образом:
Я знаю, что Logstash использует elasticsearch, и Graylog тоже, и в моей настройке серверы elasticsearch отличаются друг от друга.
Вот в чем проблема:
Когда я запускаю logstash с этим флагом --backend 'elasticsearch:///?local' и отправляю данные в серый журнал. Я вижу эти большие объемы данных.
Но поскольку я знаю, что все данные, которые я запрашиваю (также известные как из панели управления Graylog), поступают из Graylog, используемого в elasticsearch, я решаю запустить файл jarfile logstash без настройки elasticsearch.
После снятия указанного выше флага пропускная способность снизилась в 10 раз.
Кто-нибудь знает, почему это могло произойти?
Во второй я запускаю logstash с --backend 'elasticsearch:///?local' установка, счетчик пропускной способности возвращается в норму?
Я пытаюсь понять, почему здесь уместен эластичный поиск из logstash? Мне не нужен веб-интерфейс для logstash, только панель инструментов graylog.
Спасибо
Может быть, logstash отправляет данные в формате GELF по UDP, а серый журнал не успевает за потоком?