配置内部队列
编辑配置内部队列
编辑Auditbeat 使用内部队列在发布事件之前存储事件。队列负责缓冲和组合事件,并将它们组合成批次,以便输出可以处理。输出将使用批量操作在一个事务中发送一批事件。
您可以通过在 auditbeat.yml 配置文件的 queue 部分设置选项或在输出的 queue 部分设置选项来配置内部队列的类型和行为。只能配置一种队列类型。
此示例配置将内存队列设置为最多缓冲 4096 个事件
queue.mem: events: 4096
配置内存队列
编辑内存队列将所有事件保存在内存中。
内存队列等待输出确认或丢弃事件。如果队列已满,则无法将新事件插入内存队列。只有在收到来自输出的信号后,队列才会释放空间以接受更多事件。
内存队列由参数 flush.min_events 和 flush.timeout 控制。 flush.min_events 指定单个批次中可以包含的事件数量限制, flush.timeout 指定队列应该等待多长时间才能完全填充事件请求。如果输出支持 bulk_max_size 参数,则最大批次大小将是 bulk_max_size 和 flush.min_events 中较小的值。
flush.min_events 是一个遗留参数,新的配置应该优先使用 bulk_max_size 来控制批次大小。从 8.13 版本开始,使用 bulk_max_size 代替 flush.min_events 来限制批次大小不会带来任何性能优势。
在同步模式下,只要有事件可用,就会立即填充事件请求,即使没有足够的事件来填充请求的批次也是如此。当必须将延迟降到最低时,这很有用。要使用同步模式,请将 flush.timeout 设置为 0。
为了向后兼容,也可以通过将 flush.min_events 设置为 0 或 1 来激活同步模式。在这种情况下,批次大小将限制为队列容量的一半。
在异步模式下,事件请求将等待最长指定的超时时间,以尝试完全填充请求的批次。如果超时过期,队列将返回包含所有可用事件的部分批次。要使用异步模式,请将 flush.timeout 设置为正持续时间,例如 5s。
此示例配置在有足够事件来填充输出的请求(通常由 bulk_max_size 控制,并且受 flush.min_events 最多限制为 512 个事件)时,或事件已等待 5 秒而未填充请求的大小,将事件转发到输出。
queue.mem: events: 4096 flush.min_events: 512 flush.timeout: 5s
配置选项
编辑您可以在 auditbeat.yml 配置文件的 queue.mem 部分指定以下选项
events
编辑队列可以存储的事件数量。
默认值为 3200 个事件。
flush.min_events
编辑如果大于 1,则指定每个批次的最大事件数。在这种情况下,输出必须等待队列累积请求的事件数或 flush.timeout 到期后才能发布。
如果为 0 或 1,则将每个批次的最大事件数设置为队列大小的一半,并将队列设置为同步模式(相当于 flush.timeout 为 0)。
默认值为 1600。
flush.timeout
编辑输出事件请求被满足的最大等待时间。如果设置为 0s,则立即返回事件。
默认值为 10s。
配置磁盘队列
编辑磁盘队列将待处理事件存储在磁盘上,而不是主内存中。这允许 Beats 队列比内存队列更多的事件,并在 Beat 或设备重启时保存事件。这种增强的可靠性需要以性能为代价,因为每个传入事件都必须写入和读取到设备的磁盘。但是,对于磁盘不是主要瓶颈的设置,磁盘队列提供了一种简单且开销相对较低的方法,可以为传入的事件数据添加一层健壮性。
要使用默认设置启用磁盘队列,请指定最大大小
queue.disk: max_size: 10GB
队列将使用磁盘上指定的最大空间。它只会使用所需的空间。例如,如果队列只存储 1GB 的事件,那么无论最大值有多高,它只会在磁盘上占用 1GB。事件成功发送到输出后,队列数据将从磁盘中删除。
配置选项
编辑您可以在 auditbeat.yml 配置文件的 queue.disk 部分指定以下选项
path
编辑磁盘队列应在其存储数据文件的目录的路径。如果目录不存在,则在启动时创建。
默认值为 "${path.data}/diskqueue"。
max_size (必需)
编辑队列在磁盘上应使用的最大大小。超过此最大值的事件将暂停其输入或被丢弃,具体取决于输入的配置。
值为 0 表示不强制执行最大大小,队列可以增长到磁盘上的可用空间量。此值应谨慎使用,因为完全填充系统的磁盘可能会使其无法操作。最好仅将此设置与专用数据或备份分区一起使用,以免干扰 Auditbeat 或主机系统的其余部分。
默认值为 10GB。
segment_size
编辑添加到队列的数据存储在段文件中。每个段包含一些等待发送到输出的事件,并在发送其所有事件后删除。默认情况下,段大小限制为最大队列大小的 1/10。使用较小的尺寸意味着队列将使用更多数据文件,但它们将更快地被删除。使用较大的尺寸意味着一些数据将需要更长时间才能删除,但队列将使用更少的辅助文件。通常可以保持此值不变。
默认值为 max_size / 10。
read_ahead
编辑等待输出请求时,应从磁盘读取到内存中的事件数。如果您发现输出变慢,因为它们一次无法读取那么多事件,则向上调整此设置可能会有所帮助,但会增加内存使用量。
默认值为 512。
write_ahead
编辑队列应接受并在等待写入磁盘时存储在内存中的事件数。如果您发现队列的内存使用量过高,因为事件等待写入磁盘的时间过长,则向下调整此设置可能会有所帮助,但会降低事件吞吐量。另一方面,如果输入正在等待或丢弃事件,因为它们的生成速度快于磁盘的处理速度,则向上调整此设置可能会有所帮助,但会增加内存使用量。
默认值为 2048。
retry_interval
编辑某些磁盘错误可能会阻止队列的操作,例如写入数据目录的权限错误,或写入事件时的磁盘已满错误。在这种情况下,队列报告错误并在暂停 retry_interval 指定的时间后重试。
默认值为 1s(一秒)。
max_retry_interval
编辑当连续出现多个写入磁盘的错误时,队列会将重试间隔增加 2 倍,最多达到 max_retry_interval。如果担心记录过多错误或在目标磁盘长时间不可用时使主机系统过载,请增加此值。
默认值为 30s(三十秒)。