Logstash + Elasticsearch failover yerel olarak ya da yeniden deneyin

Question

Çalışan bir Redis destekli ELK yığınım var, ancak ara sıra, ElasticSearch bir nedenle veya başka bir nedenle kullanılamıyorsa bir sorun yaşayacağım. Günlük olayların

Akış:

1. Sunucular
2. Sunucular yerel Redis hizmetine
bir Logstash sunucusuna uzaktan
3. Logstash-gelen yazar iterek, loglamak, log-kurye çalıştırmak günlükleri oluşturmak
4. Redis, işlenecek olan ve arabellek olarak davranan olayları tutuyor
5. Redis kuyruğundaki Logstash-giden okları grok ve diğer filtreleri çalıştırır, sonra da Elasticsearch kümesine çıkar.

logstash-incoming.conf

input { 
    courier { 
    port => 123 
    transport => "tcp" 
    } 
} 
output { 
    redis { 
    host => "127.0.0.1" 
    data_type => "list" 
    key => "logstash" 
    } 
} 

logstash-outgoing.conf

5. adımda bir başarısızlık varsa, olaylar REDIS dan attı edilir

input { 
    redis { 
    host => "127.0.0.1" 
    data_type => "list" 
    key => "logstash" 
    } 
} 
output { 
    elasticsearch { 
    hosts => "elasticsearchcluster.local" 
    } 
} 

, Logstash üç çalışacağız zamanlar, daha sonra toplu veri yükünü karartmak, veri koleksiyonumda deliklere neden olmak.

1. çok daha cömert bir şeye 3 zamanlardan bekleme x 2 saniye yeniden deneme dışarı uzatın:

   için ya bir yolu var mı.

2. Hatalı yükleri diske yazarak, sorun giderildiğinde bunları ElasticSearch içine geri göndermemi sağlayın.
3. İdeal olarak, her ikisi de. Ben ikisinin de yazma anında düşünüyorum

Answer 1

mümkündür. 2. noktaya ilişkin olarak yol haritası üzerinde ölü bir mektup kuyruğu tesisi var, ancak görünüşe göre henüz serbest bırakılmadı. Bu iki bilet göz atın:

• https://github.com/elastic/logstash/issues/2533
• https://github.com/elastic/logstash/issues/2607

Hoşçakal Markus