Bonjour,
Je tente de comprendre 2 choses :
- Comment fonctionne logstash et les shippers réagissent lorsque le service Logstash-receiver (ou indexer d'ailleurs) est arrêté : perte de données ?
- Comment sont horodatés les logs remontés : utilisation du TimeStamp écrit dans la ligne de log OU date de réception du log : données mal horodatées en cas de coupure ?
J'utilise notamment filebeat et rsyslog pour remonter des logs sur RedHat et CentOS.
- Je remarque que certaines lignes de logs créés manuellement n'ont pas été remontées par FileBeat.
- En arrêtant le service, les logs rsyslog sont perdus pendant la coupure de service
- L'horodatage est bien fait avec le champ timestamp du fichier apparemment.
Pourriez-vous m'aiguiller là-dessus ?
Merci d'avance,
Crapoulou.