问题终于解决了, 本来想总结一下, joshua已经总结完了, 还比我自己总结的更好.
索性偷个懒(偷懒也需要找理由啊)
那我就说一下ELK中其他的性能提升方式吧.
如果要实现业务系统日志汇总分析, 直接推动业务系统直接输出json格式的日志吧.
如果输出了plain 格式, 还需要耗费CPU去分析正则, 性能耗费不是一般地说.
grek在线debug,需要翻墙
http://grokdebug.herokuapp.com/
grok的解析式
https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns