Mascota Jacar — leyendo contigo Un portátil cuyos ojos siguen el cursor mientras lees.
Herramientas Tecnología

Vector: un agente de logs que merece la pena probar

9 min de lectura 138 lecturas
Vector: un agente de logs que merece la pena probar
Índice de contenidos
  1. Puntos clave
  2. Qué distingue a Vector
  3. Vector Remap Language
  4. Frente a Fluent Bit
  5. Frente a Logstash
  6. Casos de uso típicos
  7. Limitaciones honestas
  8. Integración con Datadog
  9. Despliegue en Kubernetes
  10. Observabilidad de Vector
  11. Conclusión

Actualizado: 2026-05-03

Vector, el agente de observabilidad de Datadog, entró en su versión 1.0 en 2022 y ha madurado durante 2023 y 2024 hasta convertirse en opción seria frente a Fluent Bit, Fluentd y Logstash. Escrito en Rust, con un lenguaje propio de transformación llamado VRL, y soporte para docenas de entradas y salidas, ocupa un hueco específico: transformaciones complejas de logs y métricas en el nodo, antes de enviar a destino.

Puntos clave

  • Vector es de Rust: 30-100 MB de memoria típicos en operación, más que Fluent Bit pero mucho menos que Logstash (JVM).
  • VRL (Vector Remap Language) es el diferenciador: transformaciones expresivas con tipado, manejo de errores y pruebas unitarias integradas.
  • El mismo agente maneja logs, métricas y trazas desde docenas de orígenes hacia docenas de destinos.
  • Es genuinamente open source (MPL 2.0) y funciona sin cuenta Datadog.
  • Para pipelines simples, Fluent Bit sigue siendo más ligero. Vector compensa cuando las transformaciones son no triviales.

Qué distingue a Vector

La propuesta de Vector es triple:

  • Rendimiento: escrito en Rust, consume típicamente entre 30 y 100 MB de memoria en operación — más que Fluent Bit, que es más ligero todavía, pero dramáticamente menos que Logstash con su JVM.
  • Transformaciones: VRL (Vector Remap Language) permite reescribir, enriquecer, filtrar y pivotar eventos con una sintaxis declarativa potente.
  • Multi-fuente: el mismo agente maneja logs, métricas y trazas desde docenas de orígenes hacia docenas de destinos.

Para equipos que necesitan pipelines complejos de observabilidad — no solo recolectar y enviar — Vector es herramienta de referencia.

Vector Remap Language

VRL es el diferenciador principal frente a Fluent Bit. Mientras que Fluent Bit usa filtros encadenados relativamente limitados, Vector permite escribir transformaciones expresivas que parecen código pero son declarativas. Un ejemplo típico normalizaría un campo de IP, extraería metadata de un pod de Kubernetes, calcularía una severidad derivada y enriquecería con geolocalización — todo en un archivo de configuración.

El lenguaje tiene tipado explícito, manejo de errores, funciones predefinidas para parsear formatos comunes, y capacidad de testear transformaciones de forma unitaria. Para equipos que antes escribían scripts Lua en Fluent Bit para lo mismo, VRL es significativamente más mantenible.

Frente a Fluent Bit

La comparación justa pasa por reconocer que ambos son buenos en terrenos distintos:

  • Fluent Bit es más ligero, tiene ecosistema CNCF sólido y años más de producción a escala. Es la elección por defecto para recolección simple de logs en Kubernetes con densidad alta de pods.
  • Vector gana cuando las transformaciones son no triviales — varios pasos de enriquecimiento, parseo de formatos variados, filtrado complejo y múltiples destinos simultáneos. También gana cuando la observabilidad mezcla logs, métricas y trazas en un mismo agente.

Frente a Logstash

Logstash es el agente tradicional del stack Elastic. Funciona pero tiene reputación de consumir bastante memoria — típicamente un gigabyte o más — y no escala bien en densidad. Para entornos modernos con Kubernetes, Vector es reemplazo natural: Rust frente a JVM, transformaciones modernas frente a plugins Ruby.

La migración desde Logstash a Vector es proyecto real pero viable. Las transformaciones Grok de Logstash tienen equivalentes VRL directos o adaptables.

Casos de uso típicos

Vector brilla en situaciones donde la observabilidad es heterogénea. Una empresa con aplicaciones en Kubernetes, bases de datos en máquinas virtuales, servicios serverless y servidores legacy con syslog produce formatos distintos desde cada fuente. Un agente Vector centralizado puede consumir todas, normalizar a esquema común, enriquecer con metadata, y distribuir a varios destinos simultáneamente:

  • Loki para logs calientes y consulta interactiva.
  • S3 para archivo de largo plazo.
  • Datadog para dashboards ejecutivos.
  • Elasticsearch para auditoría legal.

Sin Vector unificando, cada pipeline tiene su propio agente, con configuraciones dispersas y mantenimiento fragmentado.

Limitaciones honestas

Vector no es reemplazo universal:

  • Para pipelines muy simples — recoger logs de contenedor y enviar a Loki — Fluent Bit es más ligero y requiere menos configuración.
  • Para usuarios ya profundamente en el ecosistema Elastic, Logstash puede ser más natural por integración.
  • El soporte de Vector para ciertas fuentes es menos maduro que alternativas específicas.

La curva de aprendizaje de VRL tiene coste real. Un equipo habituado a Fluent Bit necesita varias semanas para dominar VRL con soltura. La inversión compensa para pipelines complejos pero no para casos triviales.

Integración con Datadog

Vector es proyecto open source pero mantenido por Datadog, lo que explica su integración natural con productos Datadog. Equipos ya clientes de Datadog obtienen soporte comercial y sinergia de herramientas.

Sin embargo, el proyecto es genuinamente open source bajo MPL 2.0. Funciona igual de bien enviando datos a Loki, Elasticsearch, Splunk, Kafka, o cualquier otro destino. No requiere cuenta Datadog para ser útil. Este modelo de open source con patrocinador comercial es similar al que analizamos en el contexto de SLSA y el ecosistema Sigstore.

Despliegue en Kubernetes

Vector se despliega típicamente como DaemonSet en Kubernetes, similar a Fluent Bit. Helm chart oficial está disponible y cubre los patrones habituales. Para infraestructura mixta, puede ejecutarse como servicio systemd en máquinas virtuales tradicionales.

El patrón recomendado es agente por nodo más agregador centralizado. Los agentes hacen recolección ligera y envío a agregadores, que realizan las transformaciones pesadas. Esto reduce carga en nodos productivos y centraliza la lógica de transformación.

Observabilidad de Vector

El propio agente expone métricas Prometheus sobre eventos procesados, transformaciones aplicadas, errores y latencia. Un cuadro de mando Grafana dedicado a Vector es sensato — el agente que recoge los logs también merece ser monitorizado. Esta visibilidad sobre la infraestructura de observabilidad en sí misma es el principio de medición que también aplica a los principios de software verde.

Conclusión

Vector es la elección adecuada cuando la observabilidad requiere transformaciones no triviales y consolidación multi-fuente. Para pipelines simples, Fluent Bit sigue siendo más ligero y pragmático. La decisión pragmática depende de la complejidad real del pipeline y del apetito por aprender VRL. Para equipos con observabilidad madura que ya gestionan múltiples fuentes y destinos, invertir en Vector reduce fragmentación y mejora mantenibilidad. Para equipos que recién arrancan, Fluent Bit sigue siendo punto de entrada razonable — Vector llega cuando la complejidad lo justifica.

¿Te ha resultado útil?
[Total: 13 · Media: 4.1]
Post Views: 138

Escrito por

CEO - Jacar Systems

Apasionado de la tecnología, la infraestructura cloud y la inteligencia artificial. Escribe sobre DevOps, IA, plataformas y software desde Madrid.

445 Artículos 72K Lecturas Rating

Entradas relacionadas

Herramientas

Software esencial para tu nuevo Mac M5 (guía 2026)

100 aplicaciones imprescindibles para tu Mac M5 organizadas en 20 categorías: navegador, notas, terminal, IDE, contenedores, IA y mucho más. Cada pick con propósito, características clave, plugins, precio en EUR y enlace oficial.

683 225 min