Привет.
Осваиваю Fluentd. Планирую использовать для централизованного сбора и анализа логов. Интересны несколько вопросов.
Сейчас Fluentd складывает данные в Graylog2 по протоколу GELF (UDP). При этом шифрования нет (про GELF TCP знаю). Значит нужно форвардить все данные в один fluentd, который уже будет перекладывать данные в Graylog2.
Меня смущает то, что парсинг логов делается на каждой ноде (клиенте fluentd). Есть допустим логи приложения, есть определенная регулярка для парсинга логов. И допустим это приложение запущено на нескольких серверах. Формат логов один и тот же, но парсинг делается не централизованно, а на каждом сервере. Если используются какие-то плагины для парсинга логов, то эти плагины так же должны быть установлены на каждом сервере.
Можно ли настроить парсинг на центральной ноде? И вообще правильно ли так делать? Может быть я не прав и надо парсить на каждом сервере?