rsyslogd má modul imjournal, který umí číst journald logy a ty případně poslat beztrátově někam ven, tak to i používám. Journald je spíše nástroj na čtení a pohled na logy než jejich dlouhodobé ukládání.
Filebeat se právě s rotováním nevypořádává dobře, viz
https://www.elastic.co/guide/en/beats/filebeat/current/file-log-rotation.html, podporuje rotování, která třeba dělá logrorate, kdy se soubor přejmenuje a vytvoří místo něho nový, už ale nepodporuje truncatování souboru, gzipování atd. On to není špatný SW, ale od něčeho, co je pro mě kritické nečekám, že se bude aktualizovat několikrát do roka o nové funkce a rozbíjet ty staré, takže to chce pozorně testovat kažou novou verzi. Těch případů, kdy se data.json při aktualizaci promazal a poslalo to vše znovu nebo po pár dnech přestal logovat jsem už zažil až příliš.
rsyslogd používám tak 15 let, konfiguraci je přenosná, vše se chová stejně a stabilně, nejsou problémy s aktualizacemi a dostupnost je na všech platformách, nevadí tomu být případně spuštění někde v dockeru či standalone.
Na druhou stranu konfiguraci rsyslogd má plnou komentářů, protože do toho šahám tak málo, že si to nepamatuji, naopak tu u filebeat umím zapsat asi zpaměti, protože do toho šaháme pořád, pořád je potřeba něco luštit z dokumentace a debugovat.
Když už máš rád tyhle nové věci, možná ještě mrkni na fluentbit, je to tenké, konfigurace je čitelná, je možné jí různě řetězit, dobře testovat přes sample inputy, má to exporty metrik v prometheu formátu a umíš konfiguraci přímo přikompilovat do kódu, takže můžeš mít jednu distribuční binárku, kterou stačí spustit a obsahuje vše.
27 Odpovědí
20887 Zhlédnutí