Logstash Dead Letter Queue

Есть возможность сохранить те логи что не удалось записать в эластик для исследования

В очновном конфиге Logstash (путь к нему зависит от конфигурации но обычно /etc/logstash/pipelines.yml)

- pipeline.id: main
  path.config: "/etc/logstash/conf.d/*.conf"
  dead_letter_queue.enable: true
  dead_letter_queue.max_bytes: 100mb

output {
    if "dead_letter_queue" in [tags] {
        file {
            flush_interval => 5
            gzip => false
            path => "/var/log/logstash/debug-%{+YYYY.MM.dd}.log"
        }
    } else {
        elasticsearch {
          ...
        }
        ... другие Output plugins ...
    }
}