Что происходит, когда выход Auditbeat выключен

Question

Я использую следующий конвейер для пересылки данных

Auditbeat ---> logstash ---> ES

Предположим, если машина logstash выходит из строя, я хочу знать, как Auditbeat справляется с ситуацией.

Я хотел бы знать особенности, такие как

1. есть ли механизм повтора?
2. как долго будет повторяться?
3. что будет с журналами аудита, будет ли оно потеряно?

4. причина, по которой я задаю вопрос 3, заключается в том, что мы включаем AuditBeat, отключая службу AuditD (которая генерировала журналы аудита в /var/log/audit/audit.log). ТАК если logstash выходит из строя, пересылка данных не происходит и, следовательно, существует вероятность потери данных. Пожалуйста, уточните.

5. , если AuditBeat хранит данные, когда logstash не работает, где он это делает? и какая память (дисковое пространство) выделяется для этого процесса сохранения?

Заранее спасибо

Answer 1

Auditbeat имеет внутреннюю очередь, в которой хранятся события перед отправкой на настроенный выход, по умолчанию эта очередь является очередью памяти, в которой будет храниться до 4096 событий.

Если очередь заполнена, больше событий не будут сохраняться до тех пор, пока выходные данные не вернутся и не начнут получать данные с AuditBeat, здесь существует риск потери данных.

Вы можете изменить количество событий, хранящихся в очереди памяти.

Существует также опция использования очереди файлов, которая будет сохранять события на диск перед отправкой на настроенный выход, но эта функция все еще находится в стадии бета-тестирования.

Вы можете прочитать о внутренней очереди в документации .