Я просмотрел несколько руководств по использованию битов для отправки данных в elasticsearch.
Я заметил, что некоторые учебники предпочитают использовать logstash как результат, который затем выводится в elasticsearch. Некоторые другие руководства выводят прямо в elasticsearch.
В конфиге /etc/packetbeat/packetbeat.yml то есть:
output.logstash:
# The Logstash hosts
hosts: ["localhost:5044"]
Вместо того:
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["localhost:9200"]
Выходы с использованием logstash вывод делает это через собственный протокол lumberjack. Приемники в этих случаях, вероятно, работают с полным журналом, со приемниками на портах лесоруба. Эти конфигурации logstash будут выполнять гораздо более сложные преобразования, чем beats могут делать изначально. Затем узлы logstash будут отправлять измененные события в elasticsearch.
[ host ] -> [ beats ] --> [ logstash ] --> [ elasticsearch ]
В elasticsearch output отправит его напрямую в elasticsearch с минимальными изменениями.
[ host ] -> [ beats ] --> [ elasticsearch ]