elasticsearch - 当 Auditbeat 的输出关闭时会发生什么

我正在使用以下管道转发数据

Auditbeat ---> logstash ---> ES

假设如果logstash 机器出现故障，我想知道Auditbeat 如何处理这种情况。

我想知 Prop 体情况，例如

有重试机制吗？

重试多久？

审计日志会发生什么，会丢失吗？

我问问题 3 的原因是，我们通过禁用auditd 服务(它在/var/log/audit/audit.log 下生成审计日志)来启用auditbeat。所以
如果 logstash 出现故障，则不会发生数据转发，因此可能会丢失数据。请说清楚。

如果在 logstash 关闭时 auditbeat 正在存储数据，它在哪里存储？分配给这个保存过程的内存(磁盘空间)是多少？

提前致谢

最佳答案

Auditbeat 有一个内部队列，用于在将事件发送到配置的输出之前存储事件，默认情况下，该队列是一个内存队列，最多可存储 4096 个事件。

如果队列已满，则在输出返回并开始从auditbeat接收数据之前不会存储更多事件，这里存在数据丢失的风险。

您可以更改内存队列存储的事件数。

还可以选择使用文件队列，在发送到配置的输出之前将事件保存到磁盘，但此功能仍处于测试阶段。

您可以在 documentation 中阅读有关内部队列的信息。

关于elasticsearch - 当 Auditbeat 的输出关闭时会发生什么，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/56955186/