【翻译】Logstash、Fluentd、Fluent Bit,还是Vector?如何选择合适的开源日志收集器...
特邀文章,原载于ERA软件公司的博客 ,作者Stela Udovic
在这篇博客中,我们将讨论最流行的日志收集器,包括Logstash、Fluentd、Fluent Bit和Vector。
无论你是已经使用了一个开源的日志收集器,还是准备为你的环境选择一个或多个日志收集器,了解对你的日常操作至关重要的日志收集器的关键要求是很重要的。这些要求包括高数据吞吐量、可靠性、可扩展性、灵活性、安全性和资源消耗(CPU、内存)。在这篇博客中,我们将讨论最流行的日志收集器,包括Logstash、Fluentd、Fluent Bit和Vector。
评估日志收集器时需要考虑的关键要求
在深入研究具体的开源日志收集器实现之前,以下是评估日志收集器时需要考虑的重要要求。
高数据吞吐量
为了成功地调试问题,工程团队需要每秒有大量的日志和低延迟的日志处理。为了避免业务中断或故障,工程师需要快速获得关键的日志数据,而这正是具有高数据吞吐量的日志收集器的优势所在。
可靠性
日志收集器应确保处理数据的高度完整性。即使在数据吞吐量增加的情况下,数据的完整性也应该被保存下来。日志收集器的数据丢失的频率和数量应该是有限制的,最好在任何条件下都能避免。
可扩展性
有几种策略可以使日志收集器处理大量的数据。过滤不属于高优先级的日志、解析或压缩复杂的日志只是其中的一部分。此外,重要的是要考虑到,这种数据处理可能会引起CPU和内存资源利用率的增加,这是为扩展能力所付出的代价。另外,当数据率增加时,会有更高的资源消耗和可能的背压,这也会影响到日志收集器的扩展能力。
处理各种数据格式
日志以许多不同的格式出现在云应用和基础设施的各种元素中。容器和微服务是用不同的编程语言或框架开发的,对日志格式有不同的处理方法。避免使用一个以上的日志收集器来处理大量的格式,可以减少整体的复杂性。
对各种数据源和目的地的支持
日志收集器从各种云环境中获取数据。日志数据源还可能包括消息队列和流媒体平台,如Kafka、Redis和RabbitMQ。日志收集器将数据发送到不同的目的地,如日志管理工具和存储档案。日志收集器处理各种来源和目的地的能力增加了其灵活性和可用性。
安全性
在评估任何日志收集器时,应考虑处理敏感信息的能力,如匿名化或排除机密字段,并以安全方式将日志发送到存储后端。
现在,让我们讨论一下具体的开源收集器和它们的关键特征。
Logstash
Logstash是最受欢迎的日志收集器之一,它是ELK(Elasticsearch、Logstash、Kibana)堆栈的一部分。
Logstash的主要优点。
处理结构化和非结构化的数据。
支持提高数据安全性,能够匿名化或排除敏感字段。
支持数百个插件,包括输入、过滤和输出插件。过滤器插件执行日志处理,如聚合和解析。
虽然Logstash是一个可靠的日志收集器,有许多处理日志数据的选项,但如果小的内存占用是一个关键的要求,本博客中描述的其他日志收集器可能更好。因为Logstash是用Java编写的,它需要JVM的支持。如果你打算从嵌入式设备和物联网应用中收集日志,它不是最佳选择。
Fluentd
Fluentd是一个内存占用小的日志收集器,可以处理各种日志源和目的地。许多支持的插件允许连接到多种类型的源和目的地。与其他日志收集器一样,Fluentd的典型来源包括应用程序、基础设施和消息队列平台,而通常的目的地是日志管理工具和存储档案。
Fluentd的主要优势。
- 支持许多日志源和目的地
- 灵活和可扩展的解析选项,支持大量的输入格式
- 拥有一个庞大的生态系统,包括数百个插件和用Ruby编写自己的插件的能力。
- 支持Apache许可证,2.0版
- 供应商中立性(一个CNCF项目)
如果你在寻找供应商中立性,Fluentd是一个不错的选择。它与Kubernetes和容器化环境一起使用也非常受欢迎。
Fluent Bit
Fluent Bit在Kubernetes集群等容器化环境中运行良好。另外,Fluent Bit可以扩展,并且仍然节约资源,因为它的占用空间小。虽然Fluent Bit经常被用于Kubernetes环境,但它也可以部署在裸机服务器、虚拟机和嵌入式设备上。
Fluent Bit的主要优势。
- 轻量级设计,内存占用最小(通常小于1MB)。
- 易于扩展的架构
- 可插拔的架构,有许多输入、过滤和输出插件
- 支持基于度量的以及基于日志的有效载荷
- 支持通过安全连接将日志发送到存储后端
- 支持使用SQL进行流处理
- 支持Apache许可证,2.0版
- 供应商中立性(CNCF项目)
Fluent Bit从各种来源收集日志和指标,并像其他日志收集器一样将它们发送到不同的目的地。Fluent Bit真正闪亮的地方是在嵌入式、边缘和其他资源受限的环境中,精简的运行时间与广泛的输入/输出选项相搭配是至关重要的。Fluent Bit不仅是一个日志收集器,而且还可以作为一个流处理器,以及一个将日志数据转发到Fluentd的运输器。
Vector
Vector被设计成一个高性能的日志收集器。与本博客中讨论的其他日志收集器相比,它是一个相对较新的产品。
Vector的主要优势。
- 高效的内存/CPU消耗和高数据吞吐量
- 良好的可靠性,具有正确性和交付保证
- 包括定制的DSL,用于以安全和高性能的方式对数据进行实时转换
- 支持基于度量的以及基于日志的有效载荷
- 大量的输入和输出集成
- 可以作为一个代理或聚合器来部署
Vector是一个伟大的、灵活的选择,因为它有广泛的部署选项,支持度量和日志,以及可用的集成数量。此外,由于Vector是用Rust编写的,它提供了内存安全和效率保证,这使它在其他现有产品中独树一帜。无论你是在一个新的还是旧的环境中工作,它肯定都值得仔细看看。
Vector引入了一个单元测试框架,使得维护复杂的日志收集器拓扑结构更加容易。同时,Vector的软件组件试图为交付给目的地的日志和事件提供交付保证。Vector的用户也可以获得Vector组件的一般代码稳定性的保证。
总结
很难找到一个主导空间的单一收集器。选择合适的日志收集器取决于你的具体需求和要求。例如,如果你正在为需要小资源消耗的物联网应用寻找日志收集器,那么你最好选择Vector或Fluent Bit而不是Logstash。如果你正在寻找供应商的中立性,CNCF支持的项目,如Fluentd和Fluent Bit是不错的选择。
仔细检查性能、资源消耗、支持各种输入和输出格式的灵活性、可扩展性、可靠性、厂商锁定和安全要求,可以帮助你找到适合你的日志收集器。
幸运的是,无论你选择哪种日志收集器,都有可能以合理的成本和实时的方式来搜索和分析日志。
要了解EraSearch如何与Fluentd集成,请阅读Connecting Fluentd to EraSearch博客。通过阅读以下博客来了解EraSearch和Vector的集成情况。使用 Vector 将 Kubernetes 日志运送到 EraSearch,以及低成本地收集所有 Cloudflare 日志。