Vector, el agente de observabilidad de Datadog, entró en su versión 1.0 en 2022 y ha madurado durante 2023 y 2024 hasta convertirse en opción seria frente a Fluent Bit, Fluentd y Logstash. Escrito en Rust, con un lenguaje propio de transformación llamado VRL, y soporte para docenas de entradas y salidas, ocupa un hueco específico: transformaciones complejas de logs y métricas en el nodo, antes de enviar a destino.
Qué distingue a Vector
La propuesta de Vector es triple. Primero, el rendimiento. Al estar escrito en Rust, consume relativamente poco — típicamente entre 30 y 100 megabytes de memoria en operación — aunque más que Fluent Bit, que es más ligero todavía. Segundo, las transformaciones. VRL (Vector Remap Language) permite reescribir, enriquecer, filtrar y pivotar eventos con una sintaxis declarativa potente. Tercero, el soporte multi-fuente: el mismo agente maneja logs, métricas y trazas desde decenas de orígenes hacia decenas de destinos.
Para equipos que necesitan pipelines complejos de observabilidad — no sólo recolectar y enviar — Vector es herramienta de referencia.
Vector Remap Language
VRL es el diferenciador principal frente a Fluent Bit. Mientras que Fluent Bit usa filtros encadenados relativamente limitados, Vector permite escribir transformaciones expresivas que parecen código pero son declarativas. Un ejemplo típico sería normalizar un campo de IP, extraer metadata de Kubernetes pod, calcular una severidad derivada y enriquecer con geolocalización — todo en un archivo de configuración.
El lenguaje tiene tipado explícito, manejo de errores, funciones predefinidas para parsear formatos comunes, y capacidad de testear transformaciones de forma unitaria. Para equipos que antes escribían scripts Lua en Fluent Bit para lo mismo, VRL es mejor mantenible.
Frente a Fluent Bit
La comparación justa pasa por reconocer que ambos son buenos en terrenos distintos. Fluent Bit es más ligero, ha sido probado masivamente en producción durante más años y tiene ecosistema CNCF sólido. Es la elección por defecto para recolección simple de logs en Kubernetes con densidad alta de pods.
Vector gana cuando las transformaciones son no triviales. Si el pipeline necesita varios pasos de enriquecimiento, parseo de formatos variados, filtrado complejo y múltiples destinos simultáneos, VRL simplifica significativamente frente a cadenas de filtros Fluent Bit con scripting Lua. También gana cuando la observabilidad mezcla logs, métricas y trazas en un mismo agente.
Frente a Logstash
Logstash es el agente tradicional del stack Elastic. Funciona pero tiene reputación de consumir bastante memoria — típicamente un gigabyte o más — y no escala bien en densidad. Para entornos modernos con Kubernetes, Vector es reemplazo natural: Rust frente a JVM, transformaciones modernas frente a plugins Ruby.
La migración desde Logstash a Vector es proyecto real pero viable. Las transformaciones Grok de Logstash tienen equivalentes VRL directos o adaptables.
Casos de uso típicos
Vector brilla en situaciones donde la observabilidad es heterogénea. Pensemos en una empresa con aplicaciones en Kubernetes, bases de datos en máquinas virtuales, servicios serverless y servidores legacy con syslog. Cada fuente produce formatos distintos. Un agente Vector centralizado puede consumir todas, normalizar a esquema común, enriquecer con metadata, y distribuir a varios destinos — Loki para logs calientes, S3 para archivo, Datadog para dashboards ejecutivos, Elasticsearch para auditoría legal.
Sin Vector, cada pipeline tiene su propio agente, con configuraciones dispersas y mantenimiento fragmentado. Con Vector unificando, la visibilidad es consistente y el mantenimiento centralizado.
Limitaciones honestas
Vector no es reemplazo universal. Para pipelines muy simples — recoger logs de contenedor y enviar a Loki — Fluent Bit es más ligero y requiere menos configuración. Para usuarios ya profundamente en el ecosistema Elastic, Logstash puede ser más natural por integración. El soporte de Vector para ciertas fuentes es menos maduro que alternativas específicas.
Además, la curva de aprendizaje de VRL tiene coste. Un equipo habituado a Fluent Bit necesita varias semanas para dominar VRL con soltura. La inversión compensa para pipelines complejos pero no para casos triviales.
Integración con Datadog
Vector es proyecto open source pero mantenido por Datadog, lo que explica su integración natural con productos Datadog. Equipos ya clientes de Datadog obtienen soporte comercial y sinergia de herramientas.
Sin embargo, el proyecto es genuinamente open source. Funciona igual de bien enviando datos a Loki, Elasticsearch, Splunk, Kafka, o cualquier otro destino. No requiere cuenta Datadog para ser útil, y la licencia MPL 2.0 da garantías reales.
Despliegue en Kubernetes
Vector se despliega típicamente como DaemonSet en Kubernetes, similar a Fluent Bit. Helm chart oficial está disponible y cubre los patrones habituales. Para infraestructura mixta, puede ejecutarse como servicio systemd en máquinas virtuales tradicionales, con configuración equivalente.
El patrón recomendado es agente por nodo más agregador centralizado. Los agentes hacen recolección ligera y envío a agregadores, que realizan las transformaciones pesadas. Esto reduce carga en nodos productivos y centraliza la lógica de transformación.
Observabilidad de Vector
El propio agente expone métricas Prometheus sobre eventos procesados, transformaciones aplicadas, errores y latencia. Un cuadro de mando Grafana dedicado a Vector es sensato — el agente que recoge los logs también merece ser monitorizado.
Roadmap y futuro
El proyecto tiene releases frecuentes, comunidad activa y roadmap público. Datadog invierte recursos significativos. La integración con OpenTelemetry avanza, permitiendo que Vector reciba datos OTel y los redirija tras transformación. Para 2025 esperamos soporte aún más amplio de fuentes y destinos.
Conclusión
Vector es la elección adecuada cuando la observabilidad requiere transformaciones no triviales y consolidación multi-fuente. Para pipelines simples, Fluent Bit sigue siendo más ligero y pragmático. Para ecosistemas Elastic heredados, Logstash puede seguir siendo más natural. La decisión pragmática depende de la complejidad real del pipeline y del apetito por aprender VRL. Para equipos con observabilidad madura que ya gestionan múltiples fuentes y destinos, invertir en Vector reduce fragmentación y mejora mantenibilidad. Para equipos que recién arrancan, Fluent Bit sigue siendo punto de entrada razonable — Vector llega cuando la complejidad lo justifica.
Síguenos en jacar.es para más sobre observabilidad, agentes de logs y arquitecturas modernas.
