Я использую rsyslog, чтобы получать журналы от haproxy и помещать их в logstash для elasticsearch / kibana.
Все работало нормально, но в rsyslog я обнаружил что-то странное.
Я обнаружил, что у меня отсутствуют данные в кибане. Причина в rsyslog.
Очередь на диске задерживалась и останавливалась на несколько дней
Так что у меня отсутствуют данные за выходные, но вчера и сегодня - все в порядке.
Rsyslog теперь получает данные и помещает их в logstash, но он, кажется, забыл о данных, хранящихся в его собственной очереди (я думаю, он видит, что они старые, и игнорирует их, для этого есть параметр, и, возможно, используется какое-то значение по умолчанию?)
Прямо сейчас logstash простаивает, я могу заставить ему много дополнительных данных из очереди rsyslog
Итак, что я хочу сделать, это:
Временно попробуйте очистить эту очередь (например, сброс постфикса) или, если это невозможно, что мне делать?
Моя конфигурация rsyslog:
$ActionSendTCPRebindInterval 500
$ActionQueueType LinkedList
$ActionQueueFileName kibana
$ActionQueueMaxFileSize 100m
$ActionQueueMaxDiskSpace 100g
$ActionQueueTimeoutEnqueue 0
$ActionResumeRetryCount -1
$ActionQueueSaveOnShutdown on