Как лучше всего контролировать logstash?
Вы не должны ожидать прерывание вообще. Перемещение объектов к различным контейнерам не вызывает прерывания. Так как Вы не можете применить политику непосредственно к OUs по умолчанию, Вы не должны даже волноваться о проверке, что правильная политика применяется на новые также.
В значительной степени Вы хороши для движения для него.
Насколько лучшие практики идут, я склонен делать три OUs верхнего уровня в новой среде. UserAccounts, Группы и Машины (или что-то аналогичное компьютерам). Оттуда, я делаю дочерний OUs для определенных типов машин (как серверы/рабочие станции), административные группы/группы ресурсов групп/распределения, и т.д. Тем путем легко предназначаться для всех пользователей/компьютеров с широкими политиками и все еще связать более определенные политики с более определенным OUs.
Лично я действительно проверяю, что redis все еще удаляется из очереди на центральном хосте журналирования, который находится выше LS + ES.
то есть: redis-cli llen logstash is меньше некоторого фиксированного числа.
Это может не указывать на то, что журналы вообще появляются в redis, но я думаю, это тоже можно проверить.
Что-то вроде проверки того redis-cli info | grep total_commands_processed продолжает увеличиваться, может быть?
Убедитесь, что количество журналов в секунду в вашей конечной конечной точке (например, elasticsearch) превышает некоторый базовый уровень.
То есть выполните сквозную проверку, если ваш конечный результат работает правильно, вы знаете, что все шаги в конвейере работают правильно.
Если у вас часто возникают проблемы или вам нужен лучший самоанализ, начните инструментировать каждую часть конвейера, как redis, как предложено выше.
Я использую zabbix в своей среде, но полагаю, что этот метод может работать и в других настройках. Я настроил следующую команду, которую разрешено использовать zabbix:
UserParameter=elasticsearch.commits,/usr/bin/curl -s 'localhost:9200/_cat/count?v' | /bin/sed -n '2p' | /bin/awk '{print $3}'
Это вернет общее количество зафиксированных записей elasticsearch. Итак, я беру это значение и делю на количество секунд с тех пор, как я взял последний образец (я проверяю каждую минуту), если это число упадет ниже произвольного предела, я могу предупредить об этом. Я также использую zabbix, чтобы проверить, не умер ли PID logstash, и предупредить об этом, и запустить следующую команду:
UserParameter=elasticsearch.health,/usr/bin/curl -s 'http://localhost:9200/_cluster/health?pretty=true' | /bin/sed -n '3p' | /bin/awk -F'\"' '{print $4}' | /bin/sed s/yellow/0/ | /bin/sed s/green/0/ | /bin/sed s/red/1/
Это вернет 1, если состояние кластера стало красным (желтый и зеленый в порядке), что я также может отключаться.
Мы используем несколько подходов:
- Monit , чтобы прослушивать порты Elastic и Logstash и перезапускать их
- В случаях, когда что-то случилось, и все на месте из monit перспективно, но журналы не потребляются / не хранятся, есть простой скрипт, который проверяет активный индекс каждый час и предупреждает, если количество документов не изменилось за последний час.