Централизованный ELK против Централизованного EK + Несколько Logstash

Мы хотим настроить единый интерфейс ведения журналов для всех групп продуктов нашей компании. Мы выбрали ELK для этого, и я хочу получить несколько советов по настройке:

Одним из способов является централизованная настройка ELK, и все команды могут использовать какой-либо вид пересылки журналов, например FileBeat, для отправки журналов в общий logstash. Мне кажется, что проблема в том, что: если команды хотят использовать фильтры в журналах для анализа сообщений журнала, им потребуется доступ к общему компьютеру ELK, чтобы добавить фильтры, поскольку Beats не поддерживает взламывание или любую другую фильтрацию.

Второй способ - использовать разные серверы logstash для каждой команды, и все они будут указывать на общий сервер Elastic Search. Таким образом, команды могут свободно изменять / добавлять фильтры Grok.

Пожалуйста, просветите меня, если я что-то упустил или, может быть, я не прав в понимании. Другие идеи приветствуются.