配置内部队列

Winlogbeat 使用内部队列来存储事件，然后再发布它们。队列负责缓冲和将事件组合成批次，以便输出可以消耗这些批次。输出将使用批量操作在一笔事务中发送一批事件。

可以通过在 winlogbeat.yml 配置文件中的 queue 部分设置选项，或在输出的 queue 部分设置选项，来配置内部队列的类型和行为。只能配置一种队列类型。

此示例配置将内存队列设置为缓冲最多 4096 个事件

queue.mem:
  events: 4096

配置内存队列编辑

内存队列将所有事件保存在内存中。

内存队列等待输出确认或丢弃事件。如果队列已满，则无法将新事件插入内存队列。只有在收到输出的信号后，队列才会释放空间，以便接受更多事件。

内存队列由参数 flush.min_events 和 flush.timeout 控制。 flush.min_events 对可以包含在单个批次中的事件数量设置上限，而 flush.timeout 指定队列应该等待多长时间才能完全填充一个事件请求。如果输出支持 bulk_max_size 参数，则最大批次大小将是 bulk_max_size 和 flush.min_events 中较小的那个。

flush.min_events 是一个遗留参数，新的配置应该优先使用 bulk_max_size 来控制批次大小。从 8.13 版本开始，使用 flush.min_events 而不是 bulk_max_size 来限制批次大小永远不会有任何性能优势。

在同步模式下，只要有事件可用，就会立即填充事件请求，即使没有足够的事件来填充请求的批次也是如此。当必须最小化延迟时，这很有用。要使用同步模式，请将 flush.timeout 设置为 0。

为了向后兼容，也可以通过将 flush.min_events 设置为 0 或 1 来激活同步模式。在这种情况下，批次大小将限制为队列容量的一半。

在异步模式下，事件请求将等待最长指定的超时时间，以尝试完全填充请求的批次。如果超时，队列将返回一个包含所有可用事件的部分批次。要使用异步模式，请将 flush.timeout 设置为一个正持续时间，例如 5s。

此示例配置在有足够的事件来填充输出的请求（通常由 bulk_max_size 控制，并且受 flush.min_events 限制，最多 512 个事件）时，或事件已等待 5 秒但没有填充请求的大小，将事件转发到输出

queue.mem:
  events: 4096
  flush.min_events: 512
  flush.timeout: 5s

配置选项编辑

您可以在 winlogbeat.yml 配置文件中的 queue.mem 部分指定以下选项

events编辑

队列可以存储的事件数量。

默认值为 3200 个事件。

flush.min_events编辑

如果大于 1，则指定每个批次的最大事件数。在这种情况下，输出必须等待队列累积请求的事件数，或等待 flush.timeout 到期，才能发布。

如果为 0 或 1，则将每个批次的最大事件数设置为队列大小的一半，并将队列设置为同步模式（等效于 flush.timeout 为 0）。

默认值为 1600。

flush.timeout编辑

输出的事件请求完成的最大等待时间。如果设置为 0 秒，则立即返回事件。

默认值为 10 秒。

配置磁盘队列编辑

磁盘队列将待处理的事件存储在磁盘上，而不是主内存中。这允许 Beats 队列的事件数量超过内存队列所能容纳的数量，并在 Beat 或设备重启时保存事件。这种提高的可靠性是以性能为代价的，因为每个传入事件都必须写入和读取设备的磁盘。但是，对于磁盘不是主要瓶颈的设置，磁盘队列提供了一种简单且开销相对较低的方式，可以为传入事件数据添加一层健壮性。

要使用默认设置启用磁盘队列，请指定最大大小

queue.disk:
  max_size: 10GB

队列将在磁盘上使用最多指定的最大大小。它将只使用必要的大小。例如，如果队列只存储 1GB 的事件，那么它只会在磁盘上占用 1GB，无论最大值有多大。队列数据在成功发送到输出后将从磁盘中删除。

配置选项编辑

您可以在 winlogbeat.yml 配置文件中的 queue.disk 部分指定以下选项

path编辑

磁盘队列应存储其数据文件的目录的路径。如果目录不存在，则在启动时创建该目录。

默认值为 "${path.data}/diskqueue"。

max_size（必需）编辑

队列在磁盘上应使用的最大大小。超过此最大值的事件将暂停其输入，或者根据输入的配置被丢弃。

值为 0 表示不强制执行最大大小，队列可以增长到磁盘上的可用空间量。此值应谨慎使用，因为完全填充系统的主磁盘会导致系统无法操作。最好只将此设置与不会干扰 Winlogbeat 或主机系统其余部分的专用数据或备份分区一起使用。

默认值为 10GB。

segment_size编辑

添加到队列的数据存储在段文件中。每个段包含一定数量等待发送到输出的事件，并在所有事件发送后被删除。默认情况下，段大小限制为最大队列大小的 1/10。使用较小的尺寸意味着队列将使用更多数据文件，但它们将更快地被删除。使用较大的尺寸意味着某些数据需要更长的时间才能删除，但队列将使用更少的辅助文件。通常可以保持此值不变。

默认值为 max_size / 10。

read_ahead编辑

在等待输出请求事件时，应从磁盘读入内存的事件数量。如果您发现输出变慢，因为它们一次无法读取足够多的事件，向上调整此设置可能会有所帮助，但会增加内存使用量。

默认值为 512。

write_ahead编辑

队列应在等待将事件写入磁盘时接受并存储在内存中的事件数量。如果您发现队列的内存使用量过高，因为事件等待太长时间才能写入磁盘，向下调整此设置可能会有所帮助，但会降低事件吞吐量。另一方面，如果输入正在等待或丢弃事件，因为事件的生成速度快于磁盘的处理速度，向上调整此设置可能会有所帮助，但会增加内存使用量。

默认值为 2048。

retry_interval编辑

某些磁盘错误可能会阻止队列的操作，例如写入数据目录的权限错误，或写入事件时出现的磁盘已满错误。在这种情况下，队列会报告错误，并在暂停 retry_interval 中指定的时间后重试。

默认值为 1s（一秒）。

max_retry_interval编辑

当连续多次写入磁盘发生错误时，队列会将重试间隔乘以 2，直到达到 max_retry_interval。如果您担心记录过多错误，或目标磁盘长时间不可用时主机系统过载，请增加此值。

默认值为 30s（三十秒）。