HINTERGRUND:Logstash Dateideskriptoren schließen?
Wir haben rsyslog
Erstellung von Protokolldateien Verzeichnisse wie: /var/log/rsyslog/SERVER-NAME/LOG-DATE/LOG-FILE-NAME
So mehrere Server ihre Protokolle von verschiedenen Daten an eine zentrale Stelle sind aus verschütten.
nun diese Protokolle und speichern sie in Elasticsearch lesen für die Analyse ich meine logstash Config-Datei etwas wie diese:
file{
path => /var/log/rsyslog/**/*.log
}
PROBLEM:
nun als Anzahl der Log-Dateien im Verzeichnis logstash öffnet Dateideskriptoren (FD) für neue Dateien und gibt keine FDs für bereits gelesene Protokolldateien frei. Da Protokolldateien nach dem Datum generiert werden, nachdem es gelesen wurde, ist es danach nutzlos, da es nach diesem Datum nicht aktualisiert wird.
Ich habe die Datei Öffnungen Grenze zu 65K in /etc/security/limits.conf
Können wir nach einiger Zeit logstash schließen den Griff machen erhöht, so dass Anzahl von Datei-Handles opened erhöhen nicht zu viel ??
Was Logstash Version ist das? Kann man die komplette Konfigurationsdatei auch posten? –
Fragen wegen: https://github.com/elastic/logstash/issues/1604. Haben Sie die gleichen Symptome? Ausnahmen in den Protokollen nach einiger Zeit? Wenn Sie 'sudo lsof | grep java | W -l Siehst du, dass die Deskriptoren im Laufe der Zeit stetig zunehmen? –