我正在使用ELK堆栈并且想知道如何在我的弹性搜索中处理危机,如果弹性搜索失败并且日志不断出现,缓冲从logstash到弹性搜索的日志的最佳做法是什么失败。
或者如果你有更好的解决方案提供,为了解决弹性搜索失败的问题,我们应该保持logstash“直播和播出”
答案 0 :(得分:1)
将一个缓冲区(Redis,RabbitMQ ...)放在Logstash机器前面,该机器将成为发送到系统的所有日志事件的入口点。然后它将缓冲数据,直到下游组件有足够的资源来索引。
答案 1 :(得分:0)
您没有提到您的输入实际是什么。如果无法连接,filebeat将停止向logstash / elasticsearch发送数据。由于它会跟踪文件的位置,因此您可以免费获得分布式缓存。请注意,如果在服务器仍处于运行状态时轮换日志文件,则可能会出现问题。