前情提要：每當我與人談到「EFK」，總有高機率會被問是在說「ELK」嗎？於是去查了一下資料，順便做個簡單筆記~

兩者都是常見的日誌收集與分析堆疊（log stack），只是中間的「Log」元件不同：

ELK 是什麼？

ELK Stack 是：

• Elasticsearch（搜尋與分析引擎）
• Logstash（日誌收集與處理工具）
• Kibana（視覺化工具）

這是最早期的經典組合，廣泛被使用。

EFK 是什麼？

EFK Stack 是：

• Elasticsearch
• Fluentd（輕量級且高效能的日誌收集與轉換工具）
• Kibana

很多 雲原生環境（Cloud-native）或 Kubernetes 環境，會偏好使用 Fluentd 替代 Logstash，因為：

• Fluentd 有更好的容器支援
• 記憶體使用率更低
• 更容易整合到 Kubernetes，還有官方提供的 Fluentd DaemonSet

結論

EFK 和 ELK 都是日誌系統的架構組合，差別在於中間那個「L」或「F」：

• ELK 是 Elasticsearch + Logstash + Kibana，是比較早期的組合。
• EFK 是 Elasticsearch + Fluentd + Kibana，是現代雲原生環境（像是 Kubernetes）更常用的選擇。

雖然ELK 的安裝和配置比較麻煩，但功能也更加強大。而Fluentd 相較於 Logstash 更輕量、記憶體消耗更低，而且在 Kubernetes 裡面更容易部署（比如用 DaemonSet），所以我們現在使用 EFK 來收集和分析日誌會更符合實際需求。

所以說 EFK 並不是錯，而是 ELK 的一種替代方案。

那為什麼大家都說 ELK？

主要原因是：

• ELK 更早出現、知名度高，所以大家常拿來泛指這類型架構，即使實際上不是用 Logstash。
• 有些人會用「ELK」作為一種 慣用術語（umbrella term），即使他們實際上部署的是 EFK。

參考資料

• Fluentd 官方網站: (https://www.fluentd.org/)
• Elastic 官方說明: (https://www.elastic.co/what-is/elk-stack)
• EFK stack on Kubernetes: 搜尋關鍵字可用 EFK stack Kubernetes、EFK vs ELK、Fluentd vs Logstash