Introdução
Os log shippers são ferramentas essenciais em sistemas modernos de gerenciamento de log e ecosistemas de observabilidade, permitindo a coleta, processamento e encaminhamento de dados de log de várias fontes para sistemas de log centralizados, como o DigitalOcean Managed OpenSearch. A seleção do log shipper certo é crucial para o gerenciamento eficiente de log, pois afeta diretamente a performance, escalabilidade e confiabilidade da infraestrutura de log. Este documento compara quatro log shippers amplamente usados—Logstash, Filebeat, Fluentd e Fluent Bit—destacando suas principais aplicações, fortes e considerações. Além disso, ele apresenta os parâmetros chave a serem considerados ao escolher um log shipper para garantir que ele se alinhe com as necessidades e restrições específicas do seu ambiente.
Quais são os log shippers mais comuns usados para OpenSearch?
Logstash
Principal Uso: Processamento e transformação complexos de log.
Um log shipper amplamente usado que coleta, processa e encaminha logs. Ele oferece uma quantidade vasta de plugins para entrada, filtragem e saída, permitindo uma manipulação e transformação flexíveis de logs para o OpenSearch.
- Processamento de Logs Complexo: Este envolve a capacidade de manipular e processar logs de várias fontes de forma detalhada e intrincada. O Logstash pode filtrar, analisar e melhorar os dados de log antes de os encaminhar para um destino como o OpenSearch. Isso é útil para normalizar dados de formatos de log diversos, enriquecendo os logs com contexto adicional e aplicando filtragem avançada para garantir que apenas dados relevantes sejam armazenados ou analisados.
- Transformação: O Logstash fornece capacidades extensivas para transformar dados de log. Isso pode incluir conversão de formatos de log, modificação do conteúdo de log, agregação de dados de log e aplicação de lógica condicional para decidir como os logs devem ser processados. Essas transformações tornam os logs mais úteis e ações para monitoramento e resolução de problemas.
Recomendação: Use o Logstash quando você precisar de capacidades de processamento poderoso e ter recursos para suportar seu consumo de recursos mais alto.
Filebeat
Uso Primário: Encaminhamento leve de logs.
O Filebeat é um shipper leve projetado para encaminhar e centralizar dados de log. Ele é particularmente adequado para enviar logs de sistemas de arquivo para o OpenSearch.
- Leve: O Filebeat é projetado para ser eficiente em recursos, usando o mínimo de CPU e memória possível. Isto o torna adequado para implantação em servidores com recursos limitados ou em ambientes onde a transferência de logs precisa ser o mais não-invasivo possível.
- Encaminhamento de Logs: A função principal do Filebeat é coletar logs de arquivos no sistema e encaminhá-los the um sistema de gerenciamento de logs central, como Logstash ou Elasticsearch. Ele é otimizado para a confiabilidade e desempenho, garantindo que os logs sejam enviados rapidamente e eficientemente sem sobrecarga significativa.
Recomendações: Escolha o Filebeat para o encaminhamento de logs leve e eficiente, especialmente quando usado em conjunto com o Logstash para tarefas de processamento complexas.
Fluentd
Uso Primário: Camada de log unificada com amplo suporte de plugins.
Um coletor de dados aberto-source que unifica a coleta e o consumo de dados para um melhor uso e entendimento dos dados. O Fluentd usa um sistema de plugin para extendê-lo e pode enviar dados para vários destinos, incluindo o OpenSearch.
- Camada de Log Unificada: O Fluentd visa fornecer uma única camada unificada para logs, permitindo a coleta, filtragem e distribuição de logs de várias fontes para múltiplos destinos. Este método ajuda a centralizar o gerenciamento de logs e garantir consistência no modo como os logs são tratados em diferentes partes da infraestrutura.
- Suporte Extensivo aos Plugins: O Fluentd possui uma rica ecosistema de plugins, que permite que ele interaja com uma ampla variedade de fontes e destinos de dados. Esses plugins permitem que o Fluentd suporte diferentes cenários de log, incluindo diferentes formatos de log, sistemas de armazenamento e requisitos de processamento. A extensibilidade do Fluentd o torna altamente adaptável a diferentes ambientes e casos de uso.
Recomendação: Escolha o Fluentd quando precisar de um entregador de logs versátil com opções de integração extensivas e estiver lidando com requisitos de log diversos.
Fluent Bit
Uso Primário: Encaminhamento e processamento leve de logs.
Um processador e encaminhador de log leve e rápido. É uma versão streamlined do Fluentd, o que o torna adequado para ambientes com recursos limitados enquanto ainda suporta uma variedade de destinos de saída.
- Leve: O Fluent Bit está projetado para ser ainda mais leve do que o Fluentd, o que o torna adequado para ambientes onde os recursos estão altamente restritos, como dispositivos IoT ou computação em nuvem periférica. Seu uso de recursos baixo garante o impacto mínimo na performance do sistema.
- Log Forwarding and Processing: O Fluent Bit pode ambiente tanto forwardar quanto processar logs, oferecendo capacidades básicas de transformação e filtragem. Isso permite que ele realize tarefas de processamento de log simples diretamente no sistema de origem antes de encaminhar os logs the sistema de gerenciamento central. Suas capacidades de processamento, embora não sejam tão extensas quanto as do Fluentd ou Logstash, são suficientes para a agregação de logs, transformação de dados simples e alertas em tempo real.
Recomendação: Escolha o Fluent Bit para o forwardamento e processamento de logs leves, especialmente em ambientes com restries rígidas de recursos.
Quais parâmetros devem ser considerados ao escolher o log shipper?
Ao escolher um log shipper, deve-se considerar vários parâmetros chave para garantir que ele atenda as necessidades específicas do seu ambiente e casos de uso. Aqui estão os principais fatores a serem considerados:
Performance and Resource Usage
Consumo de CPU e Memória: Avalie quanto a CPU e memória o coletor de logs está consumindo. Os coletores leves, como Filebeat e Fluent Bit, são projetados para usar recursos mínimos, enquanto o Logstash pode requerer mais devido às suas capacidades de processamento extensivas.
Taxa de Throughput: Considere o volume de logs que o coletor pode processar eficientemente. Alguns coletores são otimizados para cenários de alta taxa de throughput e podem gerenciar grandes quantidades de dados sem um atraso significativo.
Facilidade de Configuração e Uso
Complexidade de Configuração: Avalie a complexidade da configuração inicial e do gerenciamento diário. Ferramentas como Filebeat e Fluent Bit são conhecidas por sua simplicidade, enquanto o Logstash pode exigir configurações mais elaboradas devido às suas capacidades poderosas.
Documentação e Suporte da Comunidade: Verifique a disponibilidade de documentação e suporte da comunidade. Boa documentação e uma comunidade ativa podem ajudar a solucionar problemas e a optimizar configurações.
Extensibilidade e Integração
Ecosistema de Plugins: Determinar a disponibilidade de plugins para várias fontes e destinos de dados. Por exemplo, Fluentd tem um ecosistema de plugins extensivo, o que pode ser crítico se você precisar integrar com vários sistemas.
Integração com Ferramentas Existentes: Certifique-se que o frete de log integra bem com sua infraestrutura e ferramentas existentes. Acompanhamento com sistemas como Kubernetes, Docker e vários serviços de nuvem pode ser crucial.
Capacidades de Processamento de Log
Filtro e Análise: Veja a capacidade do frete de filtrar e analisar logs. Logstash se destaca em processamento e transformação de logs complexos, permitindo manipulação detalhada de dados de log antes de seu encaminhamento.
Capacidades de Transformação: Considerar quão bem o frete pode transformar dados de log. Isso inclui a conversão de formatos de log, aumentando logs com dados adicionais e realizando transformações complexas.
Escalabilidade e Confiabilidade
Escalabilidade: Aavalie a capacidade do frete de log de escalar com o crescimento de dados de log. Filebeat e Fluent Bit são conhecidos por sua escalabilidade e performance em ambientes distribuídos.
Confiabilidade: Certifique-se de que o frete é confiável e pode lidar com picos de log sem perda de dados. As ferramentas devem ter mecanismos para lidar com problemas de rede, backpressure e retentativas para garantir que os logs não se percam.
Segurança e Conformidade
Criptografia de Dados: Avalie a capacidade do frete de criptografar dados de log em trânsito e em repouso. Funções de segurança são essenciais para proteger dados de log sensíveis contra acesso não autorizado.
Requisitos de Conformidade: Certifique-se que o frete de log atende a quaisquer requisitos de conformidade relevantes à sua indústria, como GDPR, HIPAA ou outras normas de proteção de dados.
Conclusão
Escolher o log shipper apropriado para o OpenSearch gerenciado por DigitalOcean é uma decisão crítica que afeta a eficiência, performance e confiabilidade da sua infraestrutura de log. Logstash, Filebeat, Fluentd e Fluent Bit oferecem vantagens únicas e são adequadas para diferentes casos de uso. Logstash se destaca em processamento e transformação de log complexos, tornando-se ideal para ambientes que requerem manipulação de log extensiva. Filebeat fornece uma solução leve para encaminhamento de log simples, adequada para servidores com recursos limitados. Fluentd oferece uma camada de log unificada com extensivo suporte a plugin, enquanto Fluent Bit fornece uma alternativa leve para ambientes com recursos limitados. Considerando parâmetros como desempenho, facilidade de configuração, extensibilidade, escalabilidade e segurança, você pode selecionar um log shipper que melhor atenda às suas necessidades operacionais e garante um gerenciamento de log robusto para sua implantação de OpenSearch.
Source:
https://www.digitalocean.com/community/conceptual-articles/right-log-shipper-for-opensearch