当 Auditbeat 的输出关闭时会发生什么答案

【问题标题】：What happens when the ouput of Auditbeat is down当 Auditbeat 的输出关闭时会发生什么
【发布时间】：2019-07-09 14:46:35
【问题描述】：

我正在使用以下管道转发数据

Auditbeat ---> logstash ---> ES

假设如果 logstash 机器出现故障，我想知道 Auditbeat 是如何处理这种情况的。

我想知道具体情况

有重试机制吗？
它将重试多长时间？
审核日志会发生什么情况，会丢失吗？
我问问题 3 的原因是，我们通过禁用 auditd 服务（在 /var/log/audit/audit.log 下生成审计日志）来启用 auditbeat。所以如果 logstash 出现故障，则不会发生数据转发，因此可能会丢失数据。请澄清。
如果 auditbeat 在 logstash 关闭时存储数据，它在哪里存储数据？以及分配给这个保存过程的内存（磁盘空间）是多少？

提前致谢

【问题讨论】：

【解决方案1】：

Auditbeat 有一个内部队列，用于在将事件发送到配置的输出之前存储事件，默认情况下，该队列是一个内存队列，最多可存储 4096 个事件。

如果队列已满，则在输出返回并开始从 auditbeat 接收数据之前不会存储更多事件，这里存在数据丢失的风险。

您可以更改内存队列存储的事件数。

还有使用文件队列的选项，它将在发送到配置的输出之前将事件保存到磁盘，但此功能仍处于测试阶段。

您可以在documentation 中阅读有关内部队列的信息。

【讨论】：