我们使用一台Logstash服务器(1.4.2,使用embedded式Elasticsearch)从其他许多客户端(通过TCP和rsyslogd实例)接收日志。 现在反复发生的一个问题是,主机的一个一个的消息不再被接收,但是没有任何地方可以看到错误消息。
它基本上看起来像Logstash主机无法处理传入消息的数量和连接保持在一个奇怪的状态; 我在客户端rsyslogd实例上执行了lsof / strace ,并且还在客户端和服务器上捕获了一些stream量,并且似乎在客户端仍然打开连接的情况下:
rsyslogd 30088 syslog 1u IPv4 14878202 0t0 TCP 10.129.XX:47492->10.129.XX:5544 (ESTABLISHED)
,因为服务器(端口5544 )发送的TCP零窗口消息基本上断开了连接,正如Wireshark告诉我的 ,基本上Logstash没有跟上(主机上的CPU使用率并不总是最大,但是一般在75 %在所有四个核心)。
我的问题是:是否有flag / setting / …在这种情况下让rsyslogd守护进程退出/重新连接,或者如果Logstash不能跟上连接,Logstash会正确closures连接? (这是一个已知的问题?,因为我无法find任何相关的链接。)
编辑:在此期间,我们已经将input插件更改为tcp而不是syslog ,它与手动grokparsing一起似乎更好地处理负载。 我仍然想了解最初的问题。