Wstęp:Logstash blisko deskryptorów plików?
Mamy rsyslog
plików dziennika tworzenia katalogów, takich jak: /var/log/rsyslog/SERVER-NAME/LOG-DATE/LOG-FILE-NAME
Tak wiele serwerów są wycieki swoje dzienniki różnych terminach do centralnej lokalizacji.
teraz czytać te dzienniki i przechowywać je w elasticsearch do analizowania mam logstash pliku config coś takiego:
file{
path => /var/log/rsyslog/**/*.log
}
PROBLEM:
teraz jako liczby plików dziennika w katalogu zwiększenie, logstash otwiera deskryptory plików (FD) dla nowych plików i nie będzie wydawać FD dla już przeczytanych plików dziennika. Ponieważ pliki dzienników są generowane według daty, po jej przeczytaniu nie ma sensu, ponieważ nie będzie ona aktualizowana po tej dacie.
Mam zwiększył limit otwory plik do 65K w /etc/security/limits.conf
możemy dokonać logstash zamknąć uchwyt po pewnym czasie, tak że ilość uchwytów plik otwarty nie zwiększa zbytnio ??
Co to jest wersja Logstash? Czy możesz wysłać kompletny plik konfiguracyjny? –
Pytanie o to: https://github.com/elastic/logstash/issues/1604. Czy masz te same objawy? Wyjątki w dziennikach po pewnym czasie? Jeśli uruchomisz 'sudo lsof | grep java | wc -l "czy widzisz stale rosnące deskryptory? \ –