配置内部队列
编辑配置内部队列
编辑Auditbeat 使用内部队列来存储事件,然后再发布它们。该队列负责缓冲事件并将它们组合成批次,以便输出使用。输出将使用批量操作在一个事务中发送一批事件。
您可以通过在 auditbeat.yml 配置文件的 queue 部分或在输出的 queue 部分中设置选项来配置内部队列的类型和行为。只能配置一种队列类型。
此示例配置将内存队列设置为缓冲最多 4096 个事件
queue.mem: events: 4096
配置内存队列
编辑内存队列将所有事件保存在内存中。
内存队列等待输出确认或删除事件。如果队列已满,则无法将新事件插入内存队列。只有在收到输出的信号后,队列才会释放空间以接受更多事件。
内存队列由参数 flush.min_events 和 flush.timeout 控制。flush.min_events 限制了单个批次中可以包含的事件数,而 flush.timeout 指定队列应等待多长时间才能完全填充事件请求。如果输出支持 bulk_max_size 参数,则最大批次大小将是 bulk_max_size 和 flush.min_events 中较小的值。
flush.min_events 是一个旧参数,新配置应优先使用 bulk_max_size 控制批次大小。从 8.13 版本开始,使用 flush.min_events 而不是 bulk_max_size 限制批次大小绝不会有性能优势。
在同步模式下,事件请求总是在事件可用时立即填充,即使没有足够的事件来填充请求的批次。当必须最小化延迟时,这非常有用。要使用同步模式,请将 flush.timeout 设置为 0。
为了向后兼容,也可以通过将 flush.min_events 设置为 0 或 1 来激活同步模式。在这种情况下,批次大小将上限为队列容量的 1/2。
在异步模式下,事件请求将等待指定的最长超时时间,以尝试完全填充请求的批次。如果超时到期,队列将返回一个包含所有可用事件的部分批次。要使用异步模式,请将 flush.timeout 设置为正持续时间,例如 5s。
此示例配置在有足够的事件填充输出请求(通常由 bulk_max_size 控制,并且最多由 flush.min_events 限制为 512 个事件)时,或者在事件等待 5 秒而未填充请求大小时,将事件转发到输出。
queue.mem: events: 4096 flush.min_events: 512 flush.timeout: 5s
配置选项
编辑您可以在 auditbeat.yml 配置文件的 queue.mem 部分中指定以下选项
events
编辑队列可以存储的事件数。
默认值为 3200 个事件。
flush.min_events
编辑如果大于 1,则指定每个批次的最大事件数。在这种情况下,输出必须等待队列累积请求的事件数或等待 flush.timeout 过期才能发布。
如果为 0 或 1,则将每个批次的最大事件数设置为队列大小的一半,并将队列设置为同步模式(相当于 flush.timeout 为 0)。
默认值为 1600。
flush.timeout
编辑输出满足事件请求的最大等待时间。如果设置为 0s,则立即返回事件。
默认值为 10 秒。
配置磁盘队列
编辑磁盘队列将挂起的事件存储在磁盘上,而不是主内存中。这使得 Beats 可以排队比内存队列可能存储的更多事件,并在 Beat 或设备重新启动时保存事件。这种提高的可靠性带来了性能上的权衡,因为每个传入事件都必须写入并从设备的磁盘读取。但是,对于磁盘不是主要瓶颈的设置,磁盘队列提供了一种简单且相对低开销的方式,可以为传入的事件数据添加一层稳健性。
要使用默认设置启用磁盘队列,请指定最大大小
queue.disk: max_size: 10GB
队列将在磁盘上使用指定的最大大小。它只会使用所需的空间。例如,如果队列仅存储 1GB 的事件,那么无论最大值有多高,它在磁盘上都只会占用 1GB。队列数据在成功发送到输出后会从磁盘删除。
配置选项
编辑您可以在 auditbeat.yml 配置文件的 queue.disk 部分中指定以下选项
path
编辑磁盘队列应存储其数据文件的目录路径。如果目录不存在,则在启动时创建该目录。
默认值为 "${path.data}/diskqueue"。
max_size(必需)
编辑队列应在磁盘上使用的最大大小。超过此最大值的事件将暂停其输入或被丢弃,具体取决于输入的配置。
0 值表示不强制执行最大大小,并且队列可以增长到磁盘上的可用空间量。应谨慎使用此值,因为完全填充系统的主磁盘可能会使其无法操作。最好仅在专用数据或备份分区上使用此设置,该分区不会干扰 Auditbeat 或主机系统的其余部分。
默认值为 10GB。
segment_size
编辑添加到队列的数据存储在段文件中。每个段都包含一些等待发送到输出的事件,并在其所有事件发送后删除。默认情况下,段大小限制为最大队列大小的 1/10。使用较小的尺寸意味着队列将使用更多数据文件,但它们在使用后会更快地删除。使用较大的尺寸意味着某些数据将需要更长时间才能删除,但队列将使用更少的辅助文件。通常可以保持此值不变。
默认值为 max_size / 10。
read_ahead
编辑在等待输出请求事件时应从磁盘读取到内存中的事件数。如果您发现输出速度减慢,因为它们无法一次读取多个事件,则向上调整此设置可能会有所帮助,但代价是更高的内存使用率。
默认值为 512。
write_ahead
编辑在等待事件写入磁盘时,队列应接受并存储在内存中的事件数。如果您发现队列的内存使用量过高,因为事件等待写入磁盘的时间太长,则向下调整此设置可能会有所帮助,但代价是降低事件吞吐量。另一方面,如果输入正在等待或丢弃事件,因为它们的生成速度快于磁盘的处理速度,则向上调整此设置可能会有所帮助,但代价是更高的内存使用率。
默认值为 2048。
retry_interval
编辑某些磁盘错误可能会阻止队列的操作,例如,写入数据目录时的权限错误,或写入事件时的磁盘已满错误。在这种情况下,队列会报告错误,并在暂停 retry_interval 中指定的时间后重试。
默认值为 1s(一秒)。
max_retry_interval
编辑当有多个连续的写入磁盘错误时,队列会将重试间隔增加 2 的倍数,最大值为 max_retry_interval。如果您担心记录过多错误或在目标磁盘长时间不可用时使主机系统过载,请增大此值。
默认值为 30s(三十秒)。