filebeat占用 cpu和mem资源过多问题说明

最新推荐文章于 2024-08-02 16:38:40 发布
最新推荐文章于 2024-08-02 16:38:40 发布
阅读量3.9k 收藏 7
点赞数
分类专栏: 工作笔记 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42688255/article/details/108201898
版权

filebeat处理日志异常

摘要

用du -sh看到sql.log日志大小128M ,实际占用14G磁盘空间,文件句柄并没有释放。filebeat处理sql.log日志异常,导致cpu和mem飙升。说明:用true时,运行的filebeat进程持有已经被删除了的文件的句柄(closed_renamed: false不会释放句柄),因此sql.log文件不会真正在磁盘中被删除,分区超级块中的信息也不会更改。用rm -f时,filebeat的close_removed:true,会释放文件句柄。

故障现象

  • 生产k8s集群一个项目的4个副本中2个pod个运行异常,原因是宿主机filebeat资源利用过高导致k8s-worker异常;
  • 生产k8s集群部分项目输出日志过大, 采用*.log通配符搜集,单个sql.log日志文件超过30G,导致生产k8s集群不稳定。

排查过程

  • 2020-8-14 上午多次收到生产k8s集群磁盘容量不足告警,经排查发现为xxx日志量过大引起(该项目单pod 12h内有超过100G日志),尤其是sql.log(单个文件超过30G);通知研发手动删除大日志,临时解决。

  • 2020-8-14下午,xxx研发反映4个pod中有2个异常,经排查发现为filebeat占用的cpu和mem过大引起。删除xxx日志后,重启filebeat解决问题。与研发讨论后,使用true方式每个6小时置空一次sql.log日志。

  • 2020-8-16 上午生产k8s集群出现netchecker 网络异常告警,发现filebeat占用cpu和mem过高。驱逐异常机器后,逐个添加xxx的日志并观察filebeat资源占用。发现是xxx sql.log日志引起。1个k8s-worker节点虽然用du -sh看到sql.log日志大小128M ,但是实际占用14G磁盘空间,文件句柄并没有释放。故cat打开很慢, 看上去就像打开异常。filebeat实际采集的还是14G的sql日志文件。

  • 2020-8-16 晚上调整生产环境xxx sql.log日志置空脚本,将true方式改为rm -f 后touch方式,filebeat问题不再出现。

解决方案

  • 运维侧添加日志清除脚本: rm -f /data/web_logs/xxx/sql.log && touch /data/web_logs/xxx/sql.log && rm -f /data/web_logs/xxx/.log.
  • 研发侧取消优化日志输出: xxx研发已经升级xxx版本,以优化日志输出。

参考资料

1. du查看的文件大小与df查看的大小相差太大~ 你遇到过吗?
2. df和du显示的磁盘空间使用情况不一致的原因及处理

附录

filebeat.yml 关键配置

- type: log
  enabled: true
  paths:
    - /data/web_logs/xxx/*.log
 fields:
    type: xxx
    node: nm
    logtopic: docker-xxx
  close_inactive: 5m
  close_renamed: false
  clean_removed: true
  ignore_older: 24h
  tail_files: false
Zabbix 监控 CPU 使用率
qq_40907977的博客
10-28 5606
1、创建监控项 2、 创建监控图形 3、创建触发器 4、 5、 6、 参考链接 : zabbix监控主机CPU使用率 : https://www.cnblogs.com/minseo/p/9486864.html
容器日志采集利器:Filebeat深度剖析与实践
Docker的专栏
08-01 2507
在云原生时代容器化浪潮中,容器的日志采集是一个看起来不起眼却又无法忽视的重要议题。对于容器日志采集我们常用的工具有FilebeatFluentd,两者对比各有优劣,相...
Day 18 记filebeat内存泄漏问题分析及调优
2401_85599527的博客
06-24 2089
下面,我们看看,使用以上的配置在什么情况下会观测到内存泄漏。
filebeat吃爆内存问题
qw311113qin的博客
07-29 1276
filebeat吃爆内存问题
Filebeat占用内存挂掉的问题【解决】
Mankel
11-09 2801
问题filebeat启动一段时间后就会挂掉 1.docker-compose添加守护机制 一开始在docker-compose中添加了一个守护机制: ]# vim docker-compose.yml hostname: #在这行下面 restart: on-failure #容器发生error而退出(容器退出状态不为0)重启容器 发现只是持续的时间长了,并没有解决根本问题,而且当把内存跑满,还会影响其他的服务 后面发现每次重启filebeat,都会重新去读取文件,当内存跑满就挂了 发现问题就解决问
filebeat实践-内存占用-最内存占用
weixin_34320159的博客
11-11 1204
filebeat作为日志采集agent, 是需要部署到生产服务器上的.不理解filebeat的工作机制,不了解filebeat在实际生产使用中的内存使用将会给你带来意想不到的麻烦. 有些文章说filebeat内存消耗很少,不会超过100M, 这简直是不负责任的胡说,假如带着这样的认识把filebeat部署到生产服务器上就等着哭吧. filebeat在空载...
filebeat实践-内存占用
这是一个记录学习的博客
11-02 1662
filebeat作为日志采集agent, 是需要部署到生产服务器上的.不理解filebeat的工作机制,不了解filebeat在实际生产使用中的内存使用将会给你带来意想不到的麻烦. 有些文章说filebeat内存消耗很少,不会超过100M, 这简直是不负责任的胡说,假如带着这样的认识把filebeat部署到生产服务器上就等着哭吧. filebeat在空载情况(没有日志可采集)下的确不会有的内...
filebeat内存泄漏问题分析及调优
热门推荐
点火三周的专栏
11-26 1万+
ELK 从发布5.0之后加入了beats套件之后,就改名叫做elastic stack了。beats是一组轻量级的软件,给我们提供了简便,快捷的方式来实时收集、丰富更多的数据用以支撑我们的分析。但由于beats都需要安装在ELK集群之外,在宿主机之上,其对宿主机的性能的影响往往成为了考量其是否能被使用的关键,而不是它到底提供了什么样的功能。因为业务的稳定运行才是核心KPI,而其他因运维而生的数据...
使用Filebeat收集线上docker日志
weixin_43886546的博客
06-05 6671
Filebeat官网:https://www.elastic.co/guide/en/beats/filebeat/index.html 警告:这里一定要检查好自己安装的filebeat是哪个版本。然后在官网对应版本下,进行参数设置;避免踩坑。 一、概述 Filebeat是Beat成员之一,基于Go语言开发,并且无需添加任何依赖,Logstash filebeat都具有日志收集的功能...
filebeat内存配置
最新发布
01-22
### 如何配置 Filebeat内存设置以提高性能效率 #### 文件扫描与回退机制调整 为了优化 Filebeat内存使用,可以考虑调整 `filebeat.inputs` 下的相关参数。通过减少每次读取的数据量并增加批处理的数量来...
JVM内存溢出
10-17
JVM内存溢出的解决方案以及相关描述TOMACAT参数配置
Filebeat系统资源使用优化
******* ▄︻┻┳═一 *******
01-29 4612
Filebeat在生产部署后,必定会对服务CPU内存、网络有影响,如果将这些因素都在可控范围内,那是完全可以接受的。但是可能由于我们的配置不合理,或者非预期的情况导致CPU内存占用,势必会影响到同在一起的业务应用稳定性。 问题场景     将filebeat部署到生产环境,或者某个参数配置错误,都可能会出现意想不到的问题,轻则影响服务的整体性能,重则可能造成应用被OOM-killer导致业务中断。我们在刚开始使用filebeat时,觉得这个组件已经如此成熟,应
filebeat占用文件句柄磁盘满
weixin_33775582的博客
09-08 2429
filebeat作为日志采集客户端,相比较于java编写的fluent,有着低功耗的特性。但在一些极端情况下,忽视filebeat的一些特性配置,可能会带来灾难。之前发过一篇关于filebeat内存占用的案例分析,今天再说下filebeat占用文件句柄、耗费主机磁盘甚至导致磁盘满的案例。 案例1: 某某通信日志系统建设 案例描述:通信公司A日志量...
filebeat
QChestnut的博客
08-02 412
filebeat远程收集发送到logstash主机。
html5游戏占内存cpu,Filebeat占用内存CPU过高问题排查
weixin_29446845的博客
05-31 273
经反馈,新部署的服务器上filebeat占用cpu过高,且内存只增不减。而据我了解filebeat非常轻量级,正常情况下占用资源几乎都能忽略不计,所以怀疑是filebeat本身出了问题。第一时间查看filebeat日志(默认路径/var/log/filebeat/filebeat),发现有量内容输出:2019-03-20T08:55:02.198+0800 INFO kafka/...
Filebeat占用内存CPU过高问题排查
weixin_30868855的博客
04-09 2409
经反馈,新部署的服务器上filebeat占用cpu过高,且内存只增不减。 而据我了解filebeat非常轻量级,正常情况下占用资源几乎都能忽略不计,所以怀疑是filebeat本身出了问题。 第一时间查看filebeat日志(默认路径/var/log/filebeat/filebeat),发现有量内容输出: 2019-03-20T08:55:02.198+0800 INF...
日志量巨filebeat占用文件句柄导致磁盘被打满
weixin_34342578的博客
12-05 4001
现状:采用filebeat→logstash→elasticsearch的流程进行业务日志采集,elk版本为6.3.2。生产系统采用Log4j作为日志系统。filebeat负责采集log4j输出的业务日志并部署多个节点,单节点单个日志文件test.log小设置50Mb,日志输出量巨,几十秒甚至几秒钟就能把50MB打满,然后日志文件被重命名为test....
Filebeat限制采集的日志小实际应用验证
非著名运维的博客
01-04 2805
  本文是根据上一篇文章拓展的,观看时请结合上一篇文章:容器部署企业级日志分析平台ELK7.10.1(Elasisearch+Filebeat+Redis+Logstash+Kibana)https://blog.csdn.net/qq_44895681/article/details/122115093?spm=1001.2014.3001.5501 -验证1:   当我们的Nginx日志文件小超过在filebeat.yml文件中限制的日志小时,Filebeat在采集时是不会采集超过限制小的日志的。
iLogtail专题五:iLogtail 与Filebeat 性能对比与分析
beyond的博客
03-06 1528
公司一直使用的Filebeat进行日志采集 由于Filebeat采集组件一些问题,现需要使用iLogtail进行代替 现记录下iLogtail介绍实际使用过程 这是iLogtail系列的第五篇文章
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值