Logstash优化心得

最新推荐文章于 2024-06-16 06:30:00 发布
最新推荐文章于 2024-06-16 06:30:00 发布
阅读量9k 收藏 13
点赞数
分类专栏: elasticsearch 文章标签: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ypc123ypc/article/details/78033142
版权

版权声明:本文为原创文章,未经博主允许不得转载。重点内容

背景

前些时间测试线上ELK环境,发现beats组件直连elasticsearch数据灌入异常快,但是过了logstash数据明显迟缓。判定logstah的灌入存在瓶颈。以下为logstash调优细节。

环境

本次针对的优化对象是线上的日志分析平台,主要数据源为metricbeat和filebeat(基础服务器数据和应用日志)

  • ES节点:顶配3点集群,各方面负载不高,无写入瓶颈
  • logstah节点:2个汇聚端,
  • 网络:内网万兆传输,无瓶颈
  • 数据量(条):2~3w/s,每天约两亿多

架构

这里写图片描述

分析

logstah的功能是一个管道,通过input灌入数据,filter过滤数据,output输入数据

  • input:filebeat和metricbeat总连接数为500左右,且观察日志无retry 或 timeout等输出,无明显瓶颈
  • filter和output:logstash的正则解析过程非常消耗资源,但是我们的节点资源消耗居然不高。在新版的logstash中优化了input,filter,output的线程模式,在配置文件中可以通过配置pipeline.workers来调整filter和
    output的线程数

网友的测评数据是两个点的logstah可以承受600+的连接数。但是我懒,未验证。

优化

查询官网手册后,最影响logstah传输效率的参数有以下几个:

  1. pipeline.workers:决定filter和output的线程数,官方建议大于CPU数,如果logstah节点是混用服务器,建议等于或小于CPU数
  2. pipeline.batch.size:单个线程每次调用ES bulk index API时的事件数。这些时间将被放到内存中。最好的设定值是不断地测试,测试,测试。
  3. JVM_heap:内存堆大小,通过配置jvm_option来修改。
结果

我的配置是:

pipeline.workers: 30
pipeline.output.workers: 30
pipeline.batch.size: 2500
pipeline.batch.delay: 5
---JVM_conf
-Xms32g
-Xmx32g

由于我的CPU为20核,稍微增加了线程数为30核,pipeline.batch.size由默认的150修改为2500。由于我的机器配置比较高,配置32G内存来换取更好的性能。

  • 公式
logstash在过滤过程中会将输入的数据放入内存中,规则如下: 
pipeline.workers * pipeline.batch.size / flush_size = ES bulk index API 调用数

优化结果

调优后的传输数据如下:
这里写图片描述

  • 上浮部分为优化后
Big-Brian
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
【教你通透ELK】Logstash 性能优化
走向CTO的路上...
08-16 524
数据处理复杂、过滤器插件多:当数据处理复杂、过滤器插件多时,Logstash的处理时间可能会增加,因此需要通过减少过滤器插件数量、合并多个过滤器插件、使用多线程插件等方式来提高性能。数据量大、数据来源多:当数据量大、数据来源多时,Logstash可能会出现性能瓶颈,因此需要通过优化配置、增加缓存大小、使用多线程插件等方式来提高性能。硬件资源有限:当硬件资源有限时,Logstash的性能可能会受到影响,因此需要通过调整JVM参数、优化插件和资源配置等方式来提高性能。在测试环境中可以关闭。
Logstash性能调优
it_lihongmin的博客
03-28 2万+
性能调节 一、性能故障排除 Logstash建议在修改配置项以提高性能的时候,每次只修改一个配置项并观察其性能和资源消耗(cpu、io、内存)。性能检查项包括: 1、检查input和output设备 日志存储的速度和它所连接的服务的速度一样快。日志存储只能像输入和输出目的地一样快速地消耗和生成数据! 1、检查...
Logstash的介绍、原理、优缺点、使用、持久化到磁盘、性能测试1
08-03
5. 输入,以下是常见得输入内容 5. 可伸缩性 5. 使用命令行运行一个简单的logstash程序
【DevOps】Logstash详解:高效日志管理与分析工具
最新发布
Coder加油站的专栏
06-16 6744
Logstash是一个强大的数据处理工具,用于收集、过滤、转换和发送日志数据。它具有灵活的架构、丰富的插件和功能,以及广泛的社区和支持。通过使用Logstash,您可以轻松地处理和分析大规模的日志数据,并从中提取有用的信息和洞察。无论是在单个服务器上还是在分布式环境中,Logstash都能提供出色的性能和可伸缩性。随着Elastic Stack的不断发展,Logstash也将继续演进和改进,以满足不断变化的日志处理需求。
第十三章 Logstash进阶
hankin的博客
07-28 2847
一、Logstash体系结构 1、概念介绍 Logstash数据传输管道所具备的流水线特征,体现在数据传输过程分为三个阶段:输入、过滤和输出。这三个阶段按顺序依次相连,像一个加工数据的流水线。 在实现上,它们分别由三种类型的插件实现,即输入插件、过滤器插件 和输出插件,并可通过修改配置文件实现快速插拔。除了这三种类型的插件以外, 还有种称为编解码器(Codec)的插件。编解码器插件用于在数据进人和离开管道时对数据做解码和编码,所以它一般都是与具体的输入插件或输出插件结合起来使用 事件(Event)是L
针对Logstash吞吐量一次优化
热门推荐
houzhe_adore的博客
05-04 4万+
Logstash性能优化:场景:      部署节点配置极其牛逼(三台 48核 256G内存 万兆网卡的机器),ES性能未达到瓶颈,而filebeat又有源源不断的日志在推送(日志堆积),此时却发现ES吞吐量怎么也上不去,基本卡在单logstash 7000/s 的吞吐。      这时候我们基本确定瓶颈在logstash上。logstash部署在服务端,主要处理接收filebeat(部署在节点机
ELK下之Logstash性能调优(从千/秒=>万/秒=>10万/秒)
weixin_43390992的博客
03-31 1万+
介绍 Logstash 是一款强大的数据处理工具,它可以实现数据传输,格式处理,格式化输出,还有强大的插件功能,常用于日志处理。 Logstash优化 Logstash建议在修改配置项以提高性能的时候,每次只修改一个配置项并观察其性能和资源消耗(cpu、io、内存)。性能检查项包括: 1、检查input和output设备 1)、CPU 2)、Memory 3)、io 1、磁盘io 2、网络io 2...
logstash安装部署手册
05-12
Logstash 是一个强大的数据收集、处理和转发工具,属于 Elastic Stack 的重要组成部分。它能够从各种数据源(如日志文件、数据库等)收集数据,然后...不断学习和优化 Logstash 配置,可以更高效地管理和分析你的数据。
logstash的配置文件
07-27
Logstash 是一个强大的数据收集、处理和转发工具,广泛应用于日志管理和监控系统中。它的核心功能是通过输入(input)、过滤(filter)和输出(output)插件,实现对各种数据源的数据进行处理,并将处理后的数据发送...
logstash.rar
04-09
- 性能优化:随着日志量的增长,Logstash 的性能优化变得至关重要。这包括合理配置 JVM 参数、使用多线程、调整批量处理大小等。 - 监控与调试:Logstash 提供了监控工具,如使用指标插件(Metrics Plugins)收集...
logstash.conf
12-18
logstash.conf
logstash ELK
11-05
Logstash 2.4.1 版本中,开发者可以期待更稳定的功能和性能优化。此版本可能包括了错误修复、新插件的添加以及对现有插件的改进。具体变更可以通过阅读 `CHANGELOG.md` 文件来详细了解。 **3. 文件列表及作用** ...
Logstash【从无到有从有到无】【L13】性能调优
琴韵悠悠
10-24 1284
目录 1.性能调优(Performance Tuning) 1.1.性能故障排除指南(Performance Troubleshooting Guide) 1.1.1.绩效检查表(Performance Checklist) 1.2.调整和分析Logstash性能(Tuning and Profiling Logstash Performance) 1.2.1.有关管道配置和性能的说明 ...
Logstash系列:pipelines.xml配置详解
NIO4444
05-17 2741
pipelines.xml用于声明多个管道。 文件位置 文件Demo - pipeline.id: id-logstash-varlog pipeline.workers: 2 pipeline.batch.size: 8000 pipeline.batch.delay: 10 path.config: "/etc/logstash/conf.d/varlog.conf" id 管道名词 workers 处理线程数(Filter、Output使用) batch...
数据仓库与Logstash的集成与优化
禅与计算机程序设计艺术
01-25 739
1.背景介绍 数据仓库与Logstash的集成与优化 1.背景介绍 数据仓库和Logstash都是现代数据处理领域中的重要技术,它们在大数据处理、日志分析和实时数据处理等方面发挥着重要作用。数据仓库是一种用于存储和管理大量历史数据的系统,主要用于数据分析和报告。而Logstash则是一种开源的数据处理和分发工具,主要用于收集、处理和传输日志和事件数据。 在现代企业中,数据仓库和Logsta...
ELK的一次吞吐量优化
Big-Brian的博客
04-10 1万+
ELK的一次吞吐量优化问题一 最近发现kibana的日志传的很慢,常常查不到日志,由于所有的日志收集都只传输到了一个logstash进行收集和过滤,于是怀疑是否是由于logstash的吞吐量存在瓶颈。一看,还真是到了瓶颈。 优化过程 经过查询logstash完整配置文件,有几个参数需要调整 # pipeline线程数,官方建议是等于CPU内核数 pipeline.workers: 24 # 实际ou
logstash配置文件优化建议
hello_yaoyyyy的博客
01-24 1303
版本临近发布时,测试测出logstash资源占用过高,在3000/S的日志量下,cpu达到90%以上,需要优化。 经过验证整理,提出以下几个优化建议: 1.关闭调试模式 # stdout { codec => rubydebug } 把这段注释掉 2.优化grok的匹配流程 由于grok默认的匹配顺序是由上到下,所以会存在某条日志需要匹配多条正则才会命中的情况,甚至不会命中的日志也会匹配所有正则,及其消耗cpu。建议加入条件判断精准匹配正则,message就是每条日志的原始信息。 例如
Logstash性能优化(1),15个经典面试问题及回答思路
2401_84248681的博客
04-17 664
三节点 logstash 吞吐量 7000 -> 10000 (未达到logstash吞吐瓶颈,目前集群推送日志量冗余) logstash不处理任何解析,采用stdout输出方式,最高吞吐 11w/s。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!stop两个logstash节点后,单节点logstash吞吐峰值15000 (集群目前应该有 2w+ 的日质量,单节点采集1w5,所以为单节点峰值)
针对Logstash吞吐量一次优化 .
xuguokun1986的博客
09-08 3328
Logstash性能优化: 场景:       部署节点配置极其牛逼(三台 48核 256G内存 万兆网卡的机器),ES性能未达到瓶颈,而filebeat又有源源不断的日志在推送(日志堆积),此时却发现ES吞吐量怎么也上不去,基本卡在单logstash 7000/s 的吞吐。       这时候我们基本确定瓶颈在logstash上。logstash部署在服务端,主要处理接收fil
logstash调优
11-28
Logstash调优可以从以下几个方面入手: 1. 增加Logstash实例:可以通过横向扩展的方式来提高Logstash的处理能力,多个Logstash相互独立,采用相同的pipeline配置,另外可以在这多个Logstash前增加一个LoadBalance,以实现多个Logstash的负载均衡。 2. 优化pipeline配置:可以通过优化pipeline配置来提高Logstash的性能,例如使用grok等插件来解析日志,使用filter插件来过滤不必要的数据等。 3. 调整JVM参数:可以通过调整JVM参数来提高Logstash的性能,例如增加堆内存大小、减少垃圾回收次数等。 4. 使用异步处理:可以使用异步处理来提高Logstash的性能,例如使用异步输出插件来将数据输出到Elasticsearch等目标系统。 5. 优化输入输出:可以通过优化输入输出来提高Logstash的性能,例如使用TCP输入插件来替代UDP输入插件,使用bulk输出插件来替代单条输出插件等。 以下是一个Logstash调优的例子: ```shell # 增加Logstash实例 # 在多台服务器上启动多个Logstash实例,并使用LoadBalance进行负载均衡 # pipeline配置相同,可以使用同一份配置文件 # 配置文件示例: input { beats { port => 5044 } } filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } } output { elasticsearch { hosts => ["localhost:9200"] index => "logstash-%{+YYYY.MM.dd}" } } # 调整JVM参数 # 在启动Logstash时增加JVM参数,例如增加堆内存大小为4G bin/logstash -J-Xmx4g # 使用异步处理 # 在output插件中使用异步输出插件,例如使用elasticsearch_async插件 output { elasticsearch_async { hosts => ["localhost:9200"] index => "logstash-%{+YYYY.MM.dd}" } } # 优化输入输出 # 使用TCP输入插件替代UDP输入插件,使用bulk输出插件替代单条输出插件 input { tcp { port => 5000 } } output { elasticsearch { hosts => ["localhost:9200"] index => "logstash-%{+YYYY.MM.dd}" codec => "json" flush_size => 500 idle_flush_time => 1 } } ```
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值