我正在使用以下管道转发数据
Auditbeat ---> logstash ---> ES
假设如果 logstash 机器出现故障,我想知道 Auditbeat 如何处理这种情况。
我想知道具体的
- 有重试机制吗?
- 它将重试多长时间?
- 审计日志会发生什么,它会丢失吗?
我问问题 3 的原因是,我们通过禁用 auditd 服务(在 /var/log/audit/audit.log 下生成审计日志)来启用 auditbeat。因此,如果 logstash 出现故障,则不会发生数据转发,因此有可能丢失数据。请澄清。
如果在 logstash 关闭时 auditbeat 正在存储数据,它在哪里这样做?分配给这个保存过程的内存(磁盘空间)是多少?
提前致谢