ELK性能测试及调优
基本情况
每台应用服务器上部署日志agent,监控多个日志目录,将目录下的日志收集到ELK-Redis服务器中缓冲,在ELK-Redis服务器上开启logstash对缓冲的日志解析并提交到ES集群存储。
每条日志包含日期,消息,5个关键字,ip,mac,用户名,进程号,服务名等共约17个字段;
每条日志约200~500Byte
生产环境中每天产生50GB日志,约2.5亿条;
测试目的
为验证及优化agent采集能力、ES集群处理能力及资源占用情况,进行此次性能测试。
环境信息
| 应用服务器 | 地址 | CPU | RAM | 日志文件数 | 日志文件行数 |
| Linux | 10.2.25.82 | 2 | 4G | 2776 | 31745296 |
| Linux | 10.2.25.83 | 2 | 4G | 2747 | 35109522 |
| Linux | 10.2.25.78 | 2 | 4G | 695 | 45553768 |
| Linux | 10.2.25.79 | 2 | 4G | 3036 | 35525706 |
| AIX | 10.2.251.111 | 12 | 8G | 9932 | 77669711 |
| AIX | 10.2.251.112 | 12 | 8G | 1402 | 71758203 |
| ELK服务器 | 地址 | CPU | RAM | 备注 |
| Redis-Linux | 10.2.245.74 | 8 | 24G | 运行logstash |
| ES-Linux | 10.2.245.71 | 4 | 16G |
|
| ES-Linux | 10.2.245.72 | 4 | 16G |
|
| ES-Linux | 10.2.245.73 | 4 | 16G | 后期改为Logstash |
| ES-Linux | 10.2.245.68 | 4 | 16G | 后期扩展 |
| ES-Linux | 10.2.245.69 | 4 | 16G | 后期扩展 |
| ES-Linux | 190.2.245.70 | 4 | 16G | 后期扩展 |
软件版本
| 软件 | 版本 | 备注 |
| Elasticsearch | 2.4.1 | 安装插件head,bigdesk |
| Logstash | 2.4.0 | AIX上使用java7 32bit,Linux上使用java8 64bit |
| Filebeat | 5.2 |
|
其他软件如Redis,pv等不一一列出。
采集端性能
由于各应用服务器操作系统的差异,在Linux环境中使用filebeat采集,在AIX环境中暂时使用logstash采集。
Linux-Filebeat性能
默认配置
单个filebeat实例可采集15000条/秒,折合390GB/天,性能可以满足要求。
系统负荷启动时:
系统负荷稳定时:
AIX-Logstash性能
默认配置
单个实例平均采集数:1300/s,折合38GB/天。
系统负荷启动时:
系统负荷稳定时:
调整redis输出配置
output {
#stdout{ codec => rubydebug }
redis{
host=> "10.2.245.74"
port=> 6379
db=> 0
data_type=> "list"
key=> "list_zzm1"
batch => true
batch_events => 2048
}
}
单个实例平均采集数:8400/s,折合218GB/天。优化后,AIX下logstash采集性能提高约6倍。
消费端性能
Linux-Logstash性能
消费端性能即logstash的性能,由于可更改的参数较多,下面对各参数分别进行验证。
可调参数:
| 序号 | 参数 | 类别 | 说明 |
| 1 | LS_HEAP_SIZE | LS | Logstash堆内存大小,默认1g |
| 2 | -w | LS启动 | logstash线程数,默认与cpu数相同 |
| 3 | -b | LS启动 | Batch数,即logstash取多少数据进行一次filter,默认125 |
| 4 | redis.threads | LS input | Redis线程数,默认1 |
| 5 | redis.batch_count | LS input | Redis每次pop的数量,默认1 |
| 6 | es.workers | LS output | Es提交线程,默认1 |
| 7 | es.flush_size | LS output | ESbulk提交数,默认500 |
在ELK-Redis服务器上安装pv,配置logstash输出为dots和ES,启动方式为:
./logstash -f logstash_dots.conf | pv -abt> /dev/null
说明:
1) 由于logstash是java应用,启动过程中随着jvm内存使用提高其处理速率也逐渐提高;
2) pv输出是平均值,而logstash启动过程约8秒,进一步造成显示速率的延迟,下表为启动3个logstash实例一段时间检测到的速率:
| 处理队列 | 5min后 | 10min后 | 20min后 |
| List_zzm1 | 3.7k/s | 4.5k/s | 5.1k/s |
| List_u1z1 | 1.2k/s | 1.6k/s | 1.9k/s |
| List_ngp1 | 1k/s | 1.2k/s | 1.5k/s |
3) 后续记录结果均采用开启3分钟后的数值;
4) 关闭ES输出配置,只输出到dots的情况下,单个logstash实例处理可达20k/s;
默认配置
输出速率:约2.5k/s
ES索引速率:
系统负荷:
启动参数-b 8000
输出速率:5.8k/s
ES索引速率:
系统负荷:
启动参数-w 16
输出速率:4.8k/s
ES索引速率:
系统负荷:
启动参数-w 16 –b 8000
输出速率:6k/s
ES索引速率:
系统负荷:
启动参数-w 16 –b 16000
输出速率:6k/s
ES索引速率:
输入Redis.threads=>8
输出速率:4.6k/s
ES索引速率:
系统负荷:
输入Redis.threads=>8 batch_count=>1024
输出速率:4.7k/s
ES索引速率:
输入Redis.threads=>8 batch_count=>10240
输出速率:4.7k/s
ES索引速率:
输出ES.workers =>8
输出速率:11.3k/s
ES索引速率:
系统负荷:
输出ES.flush_size=>4096
输出速率:4.6k/s
ES索引速率:
系统负荷:
增加workers =>8 flush_size=>4096
输出速率:12k/s
ES索引速率:
综合调整参数
启动参数–b 8192
输入Redis.batch_count=>1024
输出ES.workers=>8 flush_size=>4096
输出速率:8.4k/s
启动多个logstash实例
Agent输出到3个队列:
list_zzm1
list_u1z1
list_ngp1
开启3个logstash收集:
[PVVMBG0008][elk][/app/logstash-2.4.0/bin]#./logstash-f logstash_dots_zzm1.conf -l ./logstash_zzm1.log -b 8000 | pv -abt >/dev/null
6.19MiB 0:23:37 [4.86KiB/s]
[PVVMBG0008][elk][/app/logstash-2.4.0/bin]#./logstash-f logstash_dots_u1z1.conf -l ./logstash_u1z1.log -b 8000 | pv -abt >/dev/null
3.51MiB 0:24:15 [2.73KiB/s]
[PVVMBG0008][elk][/app/logstash-2.4.0/bin]#./logstash-f logstash_dots_ngp1.conf -l ./logstash_ngp1.log -b 8000 | pv -abt > /dev/null
3.69MiB 0:23:51 [2.64KiB/s]
输出速率:4.86+2.74+2.64≈10.2k/s
ES索引速率:
系统负荷:
此时,ES节点负荷:
优化后,消费端logstash性能提高约15倍。
测试记录
3节点2分片1副本
| ES服务器 | 索引速率 | 折算结果 |
| 10.2.245.71 | 9k/s | Logstash:22/2=11k/s 处理时间:约6.5小时 |
| 10.2.245.72 | 8k/s | |
| 10.2.245.73 | 5k/s |
4节点2分片1副本
| ES服务器 | 索引速率 | 折算结果 |
| 10.2.245.71 | 8k/s | Logstash:34/2=17k/s 处理时间:4.1小时 |
| 10.2.245.72 | 8k/s | |
| 10.2.245.73 | 9k/s | |
| 10.2.245.75 | 9k/s |
6节点3分片1副本
| ES服务器 | 索引速率 | 折算结果 |
| 10.2.245.68 | 6k/s | Logstash:36/2=18k/s 处理时间:3.85小时 |
| 10.2.245.69 | 7k/s | |
| 190.2.245.70 | 6k/s | |
| 10.2.245.71 | 7k/s | |
| 10.2.245.72 | 5k/s | |
| 10.2.245.73 | 5k/s |
5节点3分片1副本,增加一个logstash消费节点
| ES服务器 | 索引速率 | 折算结果 |
| 10.2.245.68 | 7k/s | Logstash:39/2=19.5k/s 处理时间:3.56小时 |
| 10.2.245.69 | 7k/s | |
| 190.2.245.70 | 9k/s | |
| 10.2.245.71 | 9k/s | |
| 10.2.245.72 | 7k/s |
总结
ES集群写入速率达到10k/s时,cpu、内存基本达到饱和。
Logstash(8cpu 24G RAM)处理速率达到15k/s时,cpu基本达到饱和。
ES集群3节点配置为2分片1副本存在数据分配不均匀的情况:
|
| 索引1 | 索引2 | 索引3 | 索引4 |
| ES-1 | 0 | 0 1 | 0 | 0 |
| ES-2 | 0 1 | 1 | 1 | 0 1 |
| ES-3 | 1 | 0 | 0 1 | 1 |
由于部分索引数据超大:
当某个节点分配到该索引的两个分片时,该节点成为集群的瓶颈,其他节点的索引速率小于该节点的索引速率(10k/s)。
配置为4节点后,索引分片分配相对均匀:
|
| 索引1 | 索引2 | 索引3 | 索引4 |
| ES-1 | 0 | 0 | 1 | 0 |
| ES-2 | 0 | 1 | 1 | 1 |
| ES-3 | 1 | 0 | 0 | 1 |
| ES-4 | 1 | 1 | 0 | 0 |
4个节点写入速率能达到基本一致(10k/s)。
优化措施汇总
采集端
通过设置过滤器,仅保留xcom中包含Routing-async的日志
发送到redis使用批量提交batch=>true
Logstash配置max_open_files=>20000
Logstash配置sincedb_path=>sincedb_trace
Logstash配置congestion_threshold=>5000000
消费端
从redis读取使用批量读取
调整logstash内存LS_HEAP_SIZE=4G
调整logstash启动参数-b 8192
调整logstash输出到ES的批量数flush_size=>8192
开启多个logstash实例解析日志
Redis
设置maxmemory,避免内存不足引发崩溃
延长持久化间隔为5分钟
ES
内存设置ES_HEAP_SIZE=8G
threadpool设置bulk队列增大
GC方式改为G1
架构
2个专门数据节点,3个数据+备用主节点
Logstash改为2节点
其他问题
Redis内存问题
Redis服务器目前内存24G,开启3个logstash占用12G,保留2G给操作系统,仅剩余10G供redis使用。每条日志(json格式)约650B,152万条日志/GB内存。测试中Redis可能会因内存不足而崩溃(实际测试中,开启采集端几分钟后redis的内存就会跑满)。
当redis占用内存超出后,采集端会报错:
ERR Failed to RPUSH to redis list with OOMcommand not allowed when used memory > 'maxmemory'.
1) filebeat会一直尝试,直到发布成功;
2) Logstash添加配置:congestion_threshold => 5000000,会实时检查队列长度,如果超过则阻塞。
Redis队列问题
实际测试发现,logstash提交到redis的“能力”弱于filebeat。运行一段时间后,filebeat产生的队列增加比较快,logstash产生的队列则慢慢消耗完,导致后续无法获取数据。
考虑改变elk架构,增加一个logstash解析节点,专门接收filebeat日志队列。
Logstash解析能力问题
增加的10.2.245.73(4CPU,16G RAM)处理能力:约7k/s
原10.2.245.74(8CPU,24G RAM)处理能力:约12k/s
共计19k/s。
以50GB日志计算,约需要:(50/200)/(3600*19200)≈3.6小时
ES full GC问题
执行一次full GC可能超过半个小时,GC期间节点的cpu内存资源占满,会影响整个集群的读写。暂时没有解决办法。
ES reject bulk request问题
在head中查看节点状态:
当设置的提交worker数过多,会造成队列拥堵,超过50时直接拒绝请求且不可恢复。
解决办法:
curl -XPUT '10.2.245.71:9200/_cluster/settings'-d '{
"transient": {
"threadpool.index.type": "fixed",
"threadpool.index.size": 8,
"threadpool.index.queue_size": 500
}
}'
同时减少logstash输出的worker数量,加大flush_size,进一步观察。
写在最后:
网络上很多此类调优文章,很多选项试了报错或没用,比如_source字段设置为compress,比如上文中threadpool.index.size其实设置了也没用,看ES日志里面会将这个值改回处理器数量。当然,这些和ELK软件版本可能有关系。所以,本文中的结论仅供参考。
1615
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
