Я хочу отправлять журналы из приложения Java в ElasticSearch, и традиционный подход, по-видимому, заключается в том, чтобы настроить Logstash на сервере, на котором выполняется приложение, и заставить logstash анализировать файлы журналов (с помощью regex ...!) И загружать их в ElasticSearch. ,

Есть ли причина, по которой это делается таким образом, вместо того, чтобы просто настраивать log4J (или logback) для записи вещей в нужном формате непосредственно в сборщик журналов, который затем может быть отправлен в ElasticSearch асинхронно? Мне кажется сумасшедшим, что приходится возиться с фильтрами grok, чтобы иметь дело с многострочными трассировками стека (и записывать циклы ЦП при разборе журнала), когда само приложение может просто записать его в нужном формате в первую очередь?

На тангенциально связанной ноте для приложений, запущенных в контейнере Docker, лучше ли регистрироваться напрямую в ElasticSearch, учитывая необходимость запуска только одного процесса?