Мне любопытно, обрабатывает ли logstash только журналы и передает их в потоке на уровне событий / строк, или он может, например, упаковать все журналы доступа apache и отправить их в заархивированном виде на центральный узел?
Вы можете достичь этого с помощью комбинации file {} выходы, и exec {} вывод, который выполняется по расписанию и вызывает сценарий для архивирования и передачи файлов, созданных file {} вывод. Я бы не стал называть это из коробки, но вы можете это сделать.