‌Logstash 与 Filebeat 核心定位与职责对比‌表格

Logstash和Filebeat有同时使用的必要吗？

在ELK或EFK架构中，‌Logstash和Filebeat通常需要协同使用，但并非绝对必要‌。实际是否同时使用，取决于日志处理的复杂度、系统资源约束和架构目标。以下是具体分析：

一、推荐同时使用的场景：发挥各自优势，构建完整流水线

在大多数生产级ELK/EFK架构中，‌Filebeat与Logstash是互补关系，建议同时使用‌，形成“轻量采集 + 集中处理”的分层架构。

1. ‌Filebeat 负责高效采集‌

   • 部署在应用服务器或容器中，资源占用极低（CPU和内存几乎可忽略）。
   • 实时监控日志文件变化，支持多行日志合并、文件旋转跟踪，确保日志不丢失。
   • 将原始日志数据发送给Logstash或直接写入Elasticsearch。

2. ‌Logstash 负责深度处理‌

   • 接收Filebeat转发的日志，执行过滤、解析、格式化等操作。
   • 支持Grok正则提取、时间戳识别、字段增删、JSON化、脱敏等复杂处理。
   • 最终将结构化数据写入Elasticsearch，便于Kibana高效查询与可视化。

✅ ‌典型流程‌：应用日志 → Filebeat（采集） → Logstash（解析） → Elasticsearch（存储） → Kibana（展示）。

这种组合既保证了采集端的轻量稳定，又实现了日志的标准化处理，是业界最常见的ELK架构模式。

二、可省略Logstash的场景：简化架构，降低成本

在以下情况下，‌可以仅使用Filebeat，直接写入Elasticsearch‌，跳过Logstash：

1. ‌日志格式已结构化‌

   • 若应用本身输出JSON格式日志（如Spring Boot + Logback JSON Encoder），无需额外解析。
   • Filebeat可直接将结构化日志发送至Elasticsearch。

2. ‌资源受限或追求极致轻量‌

   • Logstash基于JVM，资源消耗较高（内存通常需1GB以上），不适合部署在边缘节点。
   • Filebeat为Go编写，二进制运行，无依赖，更适合大规模部署。

3. ‌使用Ingest Node替代Logstash‌

   • Elasticsearch提供Ingest Node功能，可在索引前执行简单预处理（如Grok、日期解析）。
   • 适用于处理逻辑简单的场景，减轻Logstash压力。

⚠️ 注意：Filebeat不具备Logstash的复杂过滤能力，无法实现条件判断、多源关联、数据 enrichment 等高级功能。

三、可省略Filebeat的场景：集中式采集或代码侵入式方案

虽然少见，但在以下情况也可不使用Filebeat：

1. ‌应用直接发送日志到Logstash‌

   • 使用Log4j2的SocketAppender或HttpAppender，将日志直接推送到Logstash的Beats输入插件（端口5044）。
   • 但会增加应用进程负担，且网络异常可能导致日志丢失。

2. ‌使用其他采集器替代Filebeat‌

   • 如Fluent Bit、Promtail等，适用于Kubernetes等云原生环境。

四、总结：按需选型，平衡能力与成本

因此，‌对于你正在构建的分布式微服务日志系统，若需实现日志的标准化、可观测性与长期可维护性，建议保留Filebeat与Logstash的协同工作模式‌。若日志已结构化且处理逻辑简单，可评估使用Filebeat直连Elasticsearch方案以降低成本。

附件一：Logstash基本定义与核心价值

Logstash 是一个‌开源的数据收集和处理引擎‌，属于 Elastic Stack (ELK) 的核心组件，它通过实时管道能力从多种来源采集数据，并进行清洗、转换后发送到指定目的地。‌‌1‌

基本定义与核心价值

1. ‌定义与读音‌：Logstash 是一个开源的服务器端数据处理管道，能够同时从多个来源采集数据、进行转换，并将数据发送到指定的“储藏地”（如 Elasticsearch）。其名称来源于“Log”（日志）和“Stash”（储藏），读音通常为 /ˈlɔɡstæʃ/。它最初专注于日志收集，但其能力已扩展至处理任何类型的事件数据。‌‌
2. ‌核心价值‌：Logstash 的核心价值在于‌动态统一来自不同来源的数据并将其规范化‌，从而为下游的分析、可视化、监控和归档等用例提供高质量的数据基础