我正在使用以下管道转发数据
Auditbeat ---> logstash ---> ES
假设logstash计算机出现故障,我想知道Auditbeat如何处理这种情况。
我想知道类似的细节
我问问题3的原因是,我们通过禁用auditd service(在/var/log/audit/audit.log下生成auditlog)来启用auditbeat。所以 如果logstash下降,则不会发生数据转发,因此有可能会丢失数据。请澄清。
如果在logstash关闭时auditbeat正在存储数据,它在哪里存储?分配给该保存过程的内存(磁盘空间)是多少?
预先感谢
答案 0 :(得分:2)
Auditbeat有一个内部队列,用于在将事件发送到配置的输出之前存储事件,默认情况下,此队列是一个内存队列,最多可以存储4096个事件。
如果队列已满,直到输出返回并开始从auditbeat接收数据之前,将不再存储任何事件,这有数据丢失的风险。
您可以更改内存队列中存储的事件数。
还有一个使用文件队列的选项,它将在发送到配置的输出之前将事件保存到磁盘,但是此功能仍处于beta中。
您可以在documentation中了解内部队列。