公司一直使用的Filebeat进行日志采集
由于Filebeat采集组件一些问题,现需要使用iLogtail进行代替
现记录下iLogtail介绍和实际使用过程
这是iLogtail系列的第四篇文章
遇到以下场景时,可在ilogtail_config.json配置文件中修改Logtail启动参数。
- 需要采集的日志文件数目大(同时采集的文件数超过100个或所监控的目录下的文件数超过5000个),占用大量内存。
- 日志数据流量大(例如极简模式下超过2 MB/s,正则模式下超过1 MB/s),导致CPU占用率高。
- Logtail发送数据到日志服务的速率超过20 MB/s。
|
|
Logtail启动参数说明如下表所示:
| 参数 | 类型 | 说明 | 示例 |
|---|---|---|---|
| cpu_usage_limit | double | CPU使用阈值,以单核计算。取值如下:
警告 cpu_usage_limit为软限制,实际Logtail占用的CPU可能超过限制值,超限5分钟后将触发熔断保护,Logtail自动重启。 例如设置为0.4,表示日志服务将尽可能限制Logtail的CPU使用为CPU单核的40%,超出后Logtail自动重启。 一般情况下,通过极简模式采集日志时,单核处理能力约100 MB/s;通过完整正则模式采集日志时,单核处理能力约20 MB/s 。 | "cpu_usage_limit" : 0.4 |
| mem_usage_limit | int | 内存使用阈值。取值如下:
警告 mem_usage_limit为软限制,实际Logtail占用的内存可能超过限制值,超限5分钟后将触发熔断保护,Logtail自动重启。
相关计算公式如下:
| "mem_usage_limit" : 384 |
| max_bytes_per_sec | int | 每秒钟Logtail发送原始数据的流量限制。取值如下:
例如设置为2097152,表示Logtail发送数据的速率为2 MB/s。 注意 设置的值超过20971520 Byte/s(20MB/s),表示不限速。 | "max_bytes_per_sec" : 2097152 |
| process_thread_count | int | Logtail处理数据的线程数。 取值如下:
一般情况下,可以处理极简模式下24 MB/s的数据写入或完整正则模式12 MB/s的数据写入。默认情况下无需调整该参数取值。 | "process_thread_count" : 1 |
| send_request_concurrency | int | 异步并发的个数。取值如下:
如果写入TPS很高,可以设置更高的异步并发个数。可以按照一个并发支持0.5 MB/s~1 MB/s网络吞吐来计算,实际根据网络延时而定。 说明 设置异步并发个数过高容易导致网络端口占用过多,需调整TCP相关参数。更多信息,请参见调整TCP相关参数。 | "send_request_concurrency" : 4 |
| buffer_file_num | int | 限制缓存文件的最大数目。取值如下:
遇到网络异常、写入配额超限等情况时,Logtail将实时解析后的日志写入本地文件(安装目录下)缓存起来,等待恢复后尝试重新发送。 | "buffer_file_num" : 25 |
| buffer_file_size | int | 单个缓存文件允许的最大字节数。取值如下:
buffer_file_size*buffer_file_num是缓存文件可以实际使用的最大磁盘空间。 | "buffer_file_size" : 20971520 |
| buffer_file_path | String | 缓存文件存放目录。 默认值为空,即缓存文件存放于logtail安装目录/usr/local/ilogtail下。 当您设置此参数后,需手动将原目录下名为logtail\_buffer\_file_*的文件移动到此目录,以保证Logtail可以读取到该缓存文件并在发送后进行删除。 | "buffer_file_path" : "" |
| bind_interface | String | 本机绑定的网卡名。默认值为空,自动绑定可用的网卡。 如果设置为指定的网卡(例如eth1),则表示Logtail将强制使用该网卡上传日志。 只支持Linux版本。 | "bind_interface" : "" |
| check_point_filename | String | Logtail的checkpoint文件的保存路径, 默认为/tmp/logtail_check_point。 建议Docker用户修改checkpoint文件保存路径,并将宿主机挂载此路径,否则容器释放时会因丢失checkpoint信息而造成重复采集。例如在Docker中设置check_point_filename为 | "check_point_filename" : /tmp/logtail_check_point |
| check_point_dump_interval | int | Logtail更新Checkpoint文件的周期,默认值:900,单位:秒。即默认情况下每15分钟更新一次Checkpoint文件。 仅支持Logtail 1.0.19及以上版本。 | "check_point_dump_interval" : 900 |
| user_config_file_path | String | Logtail配置文件的保存路径,默认为进程binary所在目录,文件名为user_log_config.json。 建议Docker用户修改Logtail配置文件保存路径,并将宿主机挂载此路径,否则容器释放时会因丢失checkpoint信息而造成重复采集。例如在Docker中设置user_config_file_path为/data/logtail/user_log_config.json,在Docker启动命令中增加 | "user_config_file_path" : user_log_config.json |
| docker_file_cache_path | String | 该文件记录了容器文件到宿主机文件的路径映射,默认为/usr/local/ilogtail/docker_path_config.json。 建议Docker用户修改该文件路径,将Logtail容器中的此路径挂载到宿主机上,否则Logtail容器释放时会因为丢失映射信息而造成重复采集。例如在Docker中设置docker_file_cache_path为/data/logtail/docker_file_cache.dat,在Docker启动命令中增加 仅支持Logtail 0.16.54及以上版本。 | "docker_file_cache_path": /usr/local/ilogtail/docker_path_config.json |
| discard_old_data | Boolean | 是否丢弃历史日志。默认值:true,表示丢弃距离当前时间超过12小时的日志。 | "discard_old_data" : true |
| working_ip | String | Logtail上报本服务器的IP地址。默认值为空,表示自动从本服务器获取IP地址。 | "working_ip" : "" |
| working_hostname | String | Logtail上报的本服务器的主机名。默认值为空,表示自动从本服务器获取主机名。 | "working_hostname" : "" |
| max_read_buffer_size | long | 每条日志读取的最大值。默认值:524288,单位:Byte。 如果您的单条日志超过524288 Byte(512 KB),可修改此参数。 | "max_read_buffer_size" : 524288 |
| oas_connect_timeout | long | Logtail发起获取Logtail配置、访问密钥等请求时,连接阶段的超时时间。默认值:5,单位:秒。 网络条件较差,建立连接时间过长时可修改此参数。 | "oas_connect_timeout" : 5 |
| oas_request_timeout | long | Logtail发起获取Logtail配置、访问密钥等请求时,整个请求阶段的超时时间。默认值:10,单位:秒。 网络条件较差,建立连接时间过长时可修改此参数。 | "" : 10 |
| data_server_port | long | 设置data_server_port为443后,Logtail将通过HTTPS协议传输数据到日志服务。 仅支持Logtail 1.0.10及以上版本。 | "data_server_port": 443 |
| enable_log_time_auto_adjust | Boolean | 设置enable_log_time_auto_adjust为true后,日志时间可自适应服务器本地时间。 出于数据安全考虑,日志服务会对请求(包括Logtail发起的请求)所携带的时间进行校验,拒绝与日志服务端时间相差超过15分钟的请求。Logtail发起请求时所携带的时间为服务器本地时间,当服务器本地时间被修改后(例如某些测试场景下需要调整本地时间为未来时间),Logtail请求将被拒绝,导致写入数据失败。您可以使用该参数实现日志时间自适应服务器本地时间。 仅支持Logtail 1.0.19及以上版本。 注意
| "enable_log_time_auto_adjust": true |
| accept_multi_config | Boolean | 是否允许多个Logtail配置采集同一个文件。默认值:false,表示不允许。 默认情况下,一个文件只能被一个Logtai配置采集,您可以通过该参数消除限制。每个Logtail配置的处理过程是独立的,当允许多个Logtai配置采集同一个文件时,需要消耗多倍的CPU、内存开销。 仅支持Logtail 0.16.26及以上版本。 | "accept_multi_config": true |
| enable_checkpoint_sync_write | Boolean | 是否开启sync写功能。默认值:false,表示不开启。 sync写功能主要用于搭配ExactlyOnce写入功能。开启ExactlyOnce写入功能后,Logtail会在本地磁盘记录细粒度的Checkpoint信息(文件级别)。但出于性能考虑,默认写入Checkpoint时不会调用sync落盘,所以如果机器重启导致buffer数据来不及写入磁盘时,可能导致Checkpoint丢失。此时,您可以设置enable_checkpoint_sync_write为true,开启sync写功能。更多信息,请参见附录:ExactlyOnce写入功能说明。 仅支持Logtail 1.0.20及以上版本。 | "enable_checkpoint_sync_write": false |
修改完,重启Logtail使配置生效
1664
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
