Похоже, вас могут заинтересовать Постоянные очереди .
Хотелось бы выделить одну его часть, которая кажется экстремальной
Для защиты от потери данных во время аварийного завершения Logstash имеет функцию постоянной очереди, которая будет хранить очередь сообщений на диске. Постоянные очереди обеспечивают надежность данных в Logstash.
Постоянные очереди также полезны для развертываний Logstash, которые требуют больших буферов. Вместо развертывания и управления посредником сообщений, таким как Redis, RabbitMQ или Apache Kafka, для упрощения буферизованной модели публикации-подписчика, вы можете включить постоянные очереди для буферизации событий на диске и удалить посредник сообщений
Но, я полагаю, когда очередь заполнится, сообщения, скорее всего, будут отброшены.
Альтернативой является удаление Logstash с картинки и использование инфраструктуры Kafka Connect для внешних систем: Kafka, Filebeat / Fluentbit для просмотра локальных изменений файлов и Metricbeat / Telegraf для мониторинга метрик системы.