日志量巨大时filebeat占用文件句柄导致磁盘被打满

最新推荐文章于 2022-01-04 16:07:01 发布
最新推荐文章于 2022-01-04 16:07:01 发布
阅读量3.8k 收藏 4
点赞数
文章标签: 大数据 java 操作系统
原文链接:https://yq.aliyun.com/articles/675074
版权
当filebeat处理大量日志时,由于logstash的低吞吐导致filebeat句柄积压,占用内存,引发磁盘满载。通过引入Kafka作为缓冲和横向扩展logstash节点尝试解决,但问题转至elasticsearch,表现为请求拒绝。经过elasticsearch的性能调优,最终缓解了问题。
摘要由CSDN通过智能技术生成

现状:
采用filebeat→logstash→elasticsearch的流程进行业务日志采集,elk版本为6.3.2。
生产系统采用Log4j作为日志系统。
filebeat负责采集log4j输出的业务日志并部署多个节点,单节点单个日志文件test.log大小设置50Mb,日志输出量巨大,几十秒甚至几秒钟就能把50MB打满,然后日志文件被重命名为test.log.1.....test.log.N。由于test.log文件在重命名时filebeat尚未把test.log中的日志全部输送出去(因为此时filebeat data目录中的register文件中还存在对重命名后的文件的索引),导致test.log.1的句柄仍未释放。由此导致当日志量巨大的时候,filebeat来不及处理就会存在大量test.log.N的句柄不释放,而不释放的句柄又会占用大量内存,直至操作系统内存被耗尽。
分析:
业务日志量巨大,下游logstash无法满足吞吐要求,会对上游的filebeat产生反压,反压的后果是导致filebeat收集性能急剧降低,register文件中积压大量重命名之后的log文件。
解决思路:
1、添加Kafka做日志缓冲
2、横向扩充logstash节点
部署Kafka:找了5台配置为CPU16核内存16GB硬盘77GB的机器做Kafka集群(具体部署方式网上一大堆),然后将filebeat的output指向Kafka具体请参考官往https://www.elastic.co/guide/en/beats/filebeat/current/kafka-output.html
部署完成,创建日志topic并将partitions设置为30,重启启动filebeat,运行一段时间之后register文件中的积压现象不复存在,但是观察Kafka中的订阅情况,发现订阅延迟迅速增加,初步判断为logstash吞吐不够。
扩充logstash节点:修改logstash的input为Kafka,具体修改方式请参考官网https://www.elastic.co/guide/en/logstash/current/plugins-inputs-kafka.html
迅速扩充为3个节点,每个节点开10个线程订阅Kafka中的日志topic。重启logstash,发现Kafka中的延迟现象并未得到缓解,此时怀疑是Kafka分区太少,并发数不够,随即将partitions由30添加至300,并调整每台logstash的线程数为100,观察一段时间之后发现延迟仍未得到缓解。增一度怀疑是logstash性能太差,期间曾出现过几次elasticsearch节点发生OOM而宕机,此时已接近崩溃。后来开始注意到logstash中输出大量的如下INFO日志:
image
意思是发送给elasticsearch的请求被拒绝。此时观察elasticsearch,发现存在大量的error:

2018-11-29T16:39:25,152[o.e.a.b.TransportBulkAction] [data-node3] failed to execute pipeline for a bulk request
org.elasticsearch.common.util.concurrent.EsRejectedExecutionException: rejected execution of org.elasticsearch.ingest.PipelineExecutionService$1@1e5ccc24 on EsThreadPoolExecutor[name = data-node3/write, queue capacity = 200, org.elasticsearch.common.util.concurrent.EsThreadPoolExecutor@c58bbfc[Running, pool size = 80, active threads = 80, queued tasks = 200, completed tasks = 18742]]

at org.elasticsearch.common.util.concurrent.EsAbortPolicy.rejectedExecution(EsAbortPolicy.java:48) ~[elasticsearch-6.3.2.jar:6.3.2]
at java.util.concurrent.ThreadPoolExecutor.reject(T
最低0.47元/天 解锁文章
weixin_34342578
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
filebeat 6.3.0 轻日志采集器
09-24
filebeat 6.3.0 轻日志采集器 当您要面对成百上千、甚至成千上万的服务器、虚拟机和容器生成的日志,请告别 SSH 吧。Filebeat 将为您提供一种轻型方法,用于转发和汇总日志文件,让简单的事情不再繁杂
易语言根据文件句柄文件路径
07-22
"易语言根据文件句柄文件路径"是这样一个功能,它允许开发者通过已有的文件句柄获取到文件的实际路径,这对于调试、日志记录或者权限控制等场景非常有用。下面我们将详细讲解这个知识点。 首先,文件句柄是操作...
filbeat遇到的坑(运行久和文件数据候 )
weixin_33834628的博客
11-19 205
1、现像,吃cpu,&& io 过程:大的候发现在filbeat很吃io, 原因: 日志文件数太多,因为日志是2m一个文件 ,一天几十个G 开始怀疑是centos 6的问题,,后面观察下来7也有这个问题,filebeat运行久和文件数据候 所以会导致 filbeat 数据文件 registry io 吃很多 发现这...
mysql最大句柄数_MySQL 句柄占用过多的解决方法
weixin_36306387的博客
02-02 567
在Windows下安装MySQL ,用了官方的配置向导生成了my.ini,本以为很安稳了,谁知十多个小过去之后,系统响应非常慢,看资源管理器的性能卡,发现句柄数竟然达到了10万!怪不得无论使用什么程序都卡得很。网上搜索一下,大概是说 innodb_buffer_pool_size 这个默认的8M太大,但我已经skip-innodb了啊。后来又看到一个设置innodb_flush_log_at_t...
ELK+Filebeat 集中式日志解决方案详解
热门推荐
zoubf的专栏
02-16 1万+
Google+用电子邮件发送本页面 ELK Stack 简介 ELK 不是一款软件,而是 Elasticsearch、Logstash 和 Kibana 三种软件产品的首字母缩写。这三者都是开源软件,通常配合使用,而且又先后归于 Elastic.co 公司名下,所以被简称为 ELK Stack。根据 Google Trend 的信息显示,ELK Stac
Filebeat限制采集的日志大小实际应用验证
非著名运维的博客
01-04 2434
  本文是根据上一篇文章拓展的,观看请结合上一篇文章:容器部署企业级日志分析平台ELK7.10.1(Elasisearch+Filebeat+Redis+Logstash+Kibana)https://blog.csdn.net/qq_44895681/article/details/122115093?spm=1001.2014.3001.5501 -验证1:   当我们的Nginx日志文件大小超过在filebeat.yml文件中限制的日志大小Filebeat在采集是不会采集超过限制大小的日志的。
日志下的日志架构优化:filebeat+logstash+kafka+ELK
weixin_34178244的博客
12-23 1168
前言: 需求说明 在前面的日志收集中,都是使用的filebeat+ELK的日志架构。但是如果业务每天会产生海日志,就有可能引发logstash和elasticsearch的性能瓶颈问题。因此改善这一问题的方法就是filebeat+logstash+kafka+ELK,也就是将存储从elasticsearch转移给消息中间件,减少海数据引起的宕机,降低elasticsearch的压力,这里的e...
查看哪个文件正在被哪个进程打开,占用
11-17
在Windows操作系统中,有我们需要了解某个文件被哪个进程占用,以便于解决文件无法删除或修改的问题。这通常涉及到“打开文件”和“文件句柄”的概念。文件句柄操作系统用来标识和访问文件的一种机制,它是一个...
Linux下查看进程打开的文件句柄数和如何修改方法
01-11
修改文件句柄数在Linux下,我们使用ulimit -n 命令可以看到单个进程能够打开的最大文件句柄(socket连接也算在里面)。系统默认值1024。 对于一般的应用来说(象Apache、系统进程)1024完全足够使用。但是如何象...
window拷贝被占用文件,比如注册表文件
07-24
在Windows操作系统中,有我们需要复制或移动一个正在被其他程序使用的文件,比如注册表文件(.reg),但系统通常会阻止这种操作,因为文件正在被占用。为了克服这个限制,我们可以利用特定的技术来实现占用文件的...
Linux文件句柄限制总结
01-09
文件句柄 文章目录文件句柄查看用户级别(nofile)单个进程级别(nr_open )系统级别(file-max)修改用户级别(nofile)单个进程级别(nr_open )系统级别(file-max)总结参考 tips: 网上说什么的也有,你抄我的...
Filebeat 之多行日志处理
菜鸟厚非
05-26 5769
https://www.iamle.com/archives/2658.html https://www.cnblogs.com/toSeek/p/6120778.html
filebeat占用 cpu和mem资源过多问题说明
weixin_42688255的博客
08-24 3409
filebeat占用 cpu和mem资源过多问题说明 摘要 用du -sh看到sql.log日志大小128M ,实际占用14G磁盘空间,文件并没有释放。filebeat处理sql.log日志异常,导致cpu和mem飙升。说明:用true,运行的filebeat进程持有已经被删除了的文件句柄(closed_renamed: false不会释放句柄),因此sql.log文件不会真正在磁盘中被删除,分区超级块中的信息也不会更改。用rm -ffilebeat的close_removed:true,会释放文件
Filebeat占用内存过大挂掉的问题【解决】
Mankel
11-09 2560
问题:filebeat启动一段间后就会挂掉 1.docker-compose添加守护机制 一开始在docker-compose中添加了一个守护机制: ]# vim docker-compose.yml hostname: #在这行下面 restart: on-failure #容器发生error而退出(容器退出状态不为0)重启容器 发现只是持续的间长了,并没有解决根本问题,而且当把内存跑满,还会影响其他的服务 后面发现每次重启filebeat,都会重新去读取文件,当内存跑满就挂了 发现问题就解决问
FileBeat系列:registry太大的问题解决
NIO4444
05-16 2121
问题 如果每天产生很多文件(可能数据并不大),将会导致FileBeat registry文件非常大。 解决 clean_removed:当文件被删除或重命名,从registry记录中清除文件记录(即使重新命名也会,因为文件ID和文件名称无关),但是如果该文件后续再一次出现,将会导致从头再读一遍。 clean_inactive:当文件不再活跃,clean_inactive必须大于ignore_older ,从registry记录中清除不再活跃的文件记录(即使重新命名也会,因为文件I...
filebeat占用文件句柄磁盘
weixin_33775582的博客
09-08 2297
filebeat作为日志采集客户端,相比较于java编写的fluent,有着低功耗的特性。但在一些极端情况下,忽视filebeat的一些特性配置,可能会带来灾难。之前发过一篇关于filebeat内存占用的案例和分析,今天再说下filebeat占用文件句柄、耗费主机磁盘甚至导致磁盘满的案例。 案例1: 某某通信日志系统建设 案例描述:通信公司A日志...
filebeat占用Linux空间未释放的问题解决
bisal的专栏
01-28 4366
我们的一台应用服务器,操作系统是Red Hat Linux,监控报警,/opt/applog文件系统使用率超阈值,整体容为50G,但发现实际文件20G,剩下的30G空间是什么?我们知道,Linux环境下,任何事物,都是以文件的形式存在,系统在后台,为每个应用程序,分配了一个文件描述符,他为应用程序和操作系统之间的交互操作提供了通用的接口,既然是文件,就会占用空间,此可以使用lsof指令,他
nohup 日志过大 的处理策略
gw的博客
07-30 1080
目录 nohup日志回滚 不停服务清空nohup.out日志文件脚本 nohup 日志过大 的处理策略 nohup命令 nohup日志回滚 版权声明:转载请以超链接形式标明文章原始出处和作者信息及本声明 http://yellowtop.blogbus.com/logs/3178554.html 利用apache的rotatelogs命令实现WebLogic启动命...
filebeat推送消息到kafka-k8s sidecar
qq522044637的博客
07-14 1163
完整示例 本示例为:使用filebeat将apisi的日志发送到kafka中 完整配置文件如下: apiVersion: extensions/v1beta1 kind: Deployment metadata: name: apisix namespace: apisix spec: replicas: 1 strategy: rollingUpdate: #由于replicas为3,则整个升级,pod个数在2-4个之间 maxSurge: 1 m
java程序占用句柄不释放,怎样排查
最新发布
03-28
以下是一些可能的排查步骤: 1. 使用命令行工具查看当前系统中的句柄使用情况。在Windows系统中,可以使用命令 `netstat -ano` 或 `tasklist /svc` 来查看占用句柄的进程和端口号等信息。在Linux系统中,可以使用命令 `lsof` 或 `ps aux` 来查看相应的信息。 2. 通过分析程序的代码,查看是否存在未关闭的资源(如文件、数据库连接、网络连接等),这些资源可能会占用句柄导致不释放。 3. 使用Java Profiler等工具进行分析。通过分析程序的内存使用情况、线程状态、方法调用栈等信息,可以定位到可能存在的问题。 4. 尝试使用JConsole、VisualVM等工具监测程序运行的各项指标,如线程数、堆内存使用等,以及分析GC日志等信息,以辅助定位问题。 5. 如果程序中使用了第三方库或框架,可以查看其官方文档或社区讨论,了解是否存在已知的句柄泄露问题或相关的配置项等。 6. 编写一些测试用例,模拟程序的运行场景,并在测试过程中监测句柄使用情况,以便更好地定位问题。 7. 如果以上方法都无法解决问题,可以考虑咨询专业的Java开发、运维人员或第三方技术支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值