什么是 Logstash？它的工作原理是什么？

Logstash 是 Elastic Stack 里的服务端数据处理管道，用来采集、解析、转换并转发日志或事件。它的核心模型很简单：Input 负责进数据，Filter 负责处理数据，Output 负责送到 Elasticsearch、Kafka、文件等目标。真正的价值不只是“搬运日志”，而是把杂乱文本变成可检索、可分析的结构化字段。

追问

Logstash 的三段式流程是什么？

Input 从 File、Beats、Kafka、HTTP 等来源读取事件；Filter 用 grok、mutate、date、geoip 等插件加工字段；Output 把结果写到 ES、Kafka、Redis 或文件。

Logstash 和 Filebeat 有什么区别？

Filebeat 更轻，主要负责边缘采集和转发；Logstash 更重，适合复杂解析、字段清洗和多目标路由。

它的主要瓶颈在哪里？

常见瓶颈在 Grok 正则、输出端 bulk 写入和队列堆积。