我在典型的多个Logstash发货人中使用Logstash - > Logstash Indexer - >弹性搜索。我一直在进行测试,包括关闭Indexer几分钟并再次启动它,并注意到当Indexer重新打开时,关闭Indexer后大约30秒 - 2分钟的日志没有收到。收到所有其他日志。
我的预感是,Indexer保持其TCP套接字打开的时间更长,然后它实际上正在读取事件,但我不确定。有没有人经历过这样的事情,或者想知道如何调查它?
编辑1:
我在本地设置了一个测试,其中一个托运人正在向一个接收器/索引器发送。关闭接收器会在发货方触发“拒绝连接”错误,然后它会一直睡到检测到接收器重新启动。但是,3秒的日志已发送但未收到,因此问题与我的暂存环境相同但间隔较小。