« URL 解码 配置日志记录 »
Elastic 文档 Auditbeat 参考 [8.14] 配置 Auditbeat

配置内部队列

编辑

配置内部队列编辑

Auditbeat 使用内部队列在发布事件之前存储事件。队列负责将事件缓冲和组合成批次,以便输出可以消费这些批次。输出将使用批量操作在一个事务中发送一批事件。

您可以通过在 auditbeat.yml 配置文件的 queue 部分中设置选项,或通过在输出的 queue 部分中设置选项来配置内部队列的类型和行为。只能配置一种队列类型。

此示例配置将内存队列设置为最多缓冲 4096 个事件

queue.mem:
  events: 4096

配置内存队列编辑

内存队列将所有事件保存在内存中。

内存队列等待输出确认或丢弃事件。如果队列已满,则无法将新事件插入内存队列。只有在收到来自输出的信号后,队列才会释放空间以接受更多事件。

内存队列由参数 flush.min_eventsflush.timeout 控制。flush.min_events 限制了单个批次中可以包含的事件数量,而 flush.timeout 指定队列应等待多长时间才能完全填充事件请求。如果输出支持 bulk_max_size 参数,则最大批次大小将是 bulk_max_sizeflush.min_events 中的较小者。

flush.min_events 是一个旧参数,新配置应首选使用 bulk_max_size 来控制批次大小。从 8.13 版本开始,使用 flush.min_events 而不是 bulk_max_size 限制批次大小永远不会带来性能优势。

在同步模式下,只要有可用事件,就会立即填充事件请求,即使没有足够的事件来填充请求的批次也是如此。当必须最小化延迟时,这很有用。要使用同步模式,请将 flush.timeout 设置为 0。

为了向后兼容,也可以通过将 flush.min_events 设置为 0 或 1 来激活同步模式。在这种情况下,批次大小将限制为队列容量的 1/2。

在异步模式下,事件请求将等待指定的时间,以尝试完全填充请求的批次。如果超时到期,队列将返回一个包含所有可用事件的部分批次。要使用异步模式,请将 flush.timeout 设置为正持续时间,例如 5s

此示例配置在有足够的事件填充输出的请求(通常由 bulk_max_size 控制,并由 flush.min_events 限制为最多 512 个事件)时,或者当事件已等待 5 秒而未填充请求的大小时,将事件转发到输出

queue.mem:
  events: 4096
  flush.min_events: 512
  flush.timeout: 5s

配置选项编辑

您可以在 auditbeat.yml 配置文件的 queue.mem 部分中指定以下选项

events编辑

队列可以存储的事件数。

默认值为 3200 个事件。

flush.min_events编辑

如果大于 1,则指定每个批次的最大事件数。在这种情况下,输出必须等待队列累积请求的事件数或等待 flush.timeout 到期后才能发布。

如果为 0 或 1,则将每个批次的事件最大数量设置为队列大小的一半,并将队列设置为同步模式(相当于将 flush.timeout 设置为 0)。

默认值为 1600。

flush.timeout编辑

来自输出的事件请求完成的最长等待时间。如果设置为 0 秒,则立即返回事件。

默认值为 10 秒。

配置磁盘队列编辑

磁盘队列将挂起的事件存储在磁盘上,而不是主内存中。这允许 Beats 排队的事件数量比使用内存队列时更多,并在 Beat 或设备重新启动时保存事件。这种更高的可靠性是以性能为代价的,因为每个传入事件都必须从设备的磁盘写入和读取。但是,对于磁盘不是主要瓶颈的设置,磁盘队列提供了一种简单且开销相对较低的方式,为传入事件数据添加一层鲁棒性。

要使用默认设置启用磁盘队列,请指定最大大小

queue.disk:
  max_size: 10GB

队列将在磁盘上使用最多指定的最大大小。它只会使用所需的空间。例如,如果队列只存储 1GB 的事件,那么无论最大值有多高,它都只占用磁盘上的 1GB。队列数据在成功发送到输出后从磁盘中删除。

配置选项编辑

您可以在 auditbeat.yml 配置文件的 queue.disk 部分中指定以下选项

path编辑

磁盘队列应存储其数据文件的目录的路径。如果该目录不存在,则会在启动时创建。

默认值为 "${path.data}/diskqueue"

max_size(必需)编辑

队列应在磁盘上使用的最大大小。超过此最大值的事件将根据输入的配置暂停其输入或被丢弃。

0 表示不强制执行最大大小,队列可以增长到磁盘上的可用空间量。应谨慎使用此值,因为完全填满系统的硬盘可能会导致其无法操作。最好仅在专用数据或备份分区上使用此设置,以确保不会干扰 Auditbeat 或主机系统的其余部分。

默认值为 10GB

segment_size编辑

添加到队列中的数据存储在段文件中。每个段包含一些等待发送到输出的事件,并在其所有事件发送后被删除。默认情况下,段大小限制为最大队列大小的 1/10。使用较小的段大小意味着队列将使用更多的数据文件,但它们在使用后会被更快地删除。使用较大的段大小意味着某些数据将需要更长的时间才能删除,但队列将使用更少的辅助文件。通常情况下,可以不更改此值。

默认值为 max_size / 10

read_ahead编辑

在等待输出请求事件时,应从磁盘读取到内存中的事件数量。如果您发现输出速度变慢,因为它们一次无法读取尽可能多的事件,则向上调整此设置可能会有所帮助,但会增加内存使用量。

默认值为 512

write_ahead编辑

在等待将事件写入磁盘时,队列应接受并存储在内存中的事件数量。如果您发现队列的内存使用率过高,因为事件等待写入磁盘的时间过长,则向下调整此设置可能会有所帮助,但会降低事件吞吐量。另一方面,如果输入正在等待或丢弃事件,因为它们生成的事件速度快于磁盘处理速度,则向上调整此设置可能会有所帮助,但会增加内存使用量。

默认值为 2048

retry_interval编辑

某些磁盘错误可能会阻止队列的操作,例如写入数据目录时的权限错误,或写入事件时的磁盘空间不足错误。在这种情况下,队列会报告错误,并在暂停 retry_interval 指定的时间后重试。

默认值为 1s(一秒)。

max_retry_interval编辑

当连续多次写入磁盘出错时,队列会以 2 的倍数增加重试间隔,最大可达 max_retry_interval。如果您担心在目标磁盘长时间不可用时记录太多错误或主机系统过载,请增加此值。

默认值为 30s(三十秒)。

« URL 解码 配置日志记录 »