我們有rsyslog
創建日誌文件目錄,如:/var/log/rsyslog/SERVER-NAME/LOG-DATE/LOG-FILE-NAME
那麼多臺服務器被溢出的不同日期的日誌到一箇中央位置。
我們閱讀這些日誌並在elasticsearch存儲分析我有我的logstash的配置文件是這樣的:
file{
path => /var/log/rsyslog/**/*.log
}
問題:
現在爲目錄中的日誌文件數增加,logstash打開新文件的文件描述符(FD),不會爲已讀日誌文件釋放FD。 由於日誌文件是根據日期生成的,因此一旦讀取日誌文件,之後它就沒有用了,因爲它在該日期之後不會被更新。
我在/etc/security/limits.conf
我們可以做出一些時間,因此文件句柄,這個數字開不增加太多後logstash關閉手柄增加了文件開口限制65K?
這是什麼Logstash版本?另外,你可以發佈完整的配置文件嗎? –
因此請求:https://github.com/elastic/logstash/issues/1604。你有同樣的症狀嗎?在一段時間後的日誌中有例外情況?如果你運行'sudo lsof | grep java | wc -l'你看到描述符隨着時間的推移穩定增加嗎?\ –