1. 配置文件输入优化
filestream输入(替代老旧的log输入),其采用更高效的文件监控机制,能显著提升大文件读取和事件生成效率。配置示例如下:filebeat.inputs:
- type: filestream
enabled: true
paths:
- /var/log/*.log
multiline参数,避免不必要的多行合并(如仅合并错误堆栈)。示例:multiline.pattern: '^\[' # 匹配行首为'['的日志(如Java错误日志)
multiline.negate: true # 反转匹配(即不匹配的行作为新事件)
multiline.match: after # 将不匹配的行追加到上一事件的末尾
multiline.max_lines: 10000 # 限制单事件最大行数(防止内存溢出)
json.keys_under_root: true # 将JSON字段提升至根层级
json.overwrite_keys: true # 允许覆盖已有字段(避免重复)
json.message_key: log # 指定日志消息字段(避免嵌套)
2. 内存队列与批量发送调优
queue.type设置为persisted,确保进程重启后未发送数据不丢失,同时通过队列缓冲平衡内存与吞吐量。示例:queue.type: persisted
queue.max_bytes: 1024mb # 根据系统内存调整(如8GB内存可设为2GB)
flush.min_events: 2048 # 触发批量发送的最小事件数(减少网络请求次数)
flush.timeout: 1s # 批量发送超时时间(避免长时间等待)
bulk_max_size参数,增加每次发送到Elasticsearch的事件数(默认50,可根据集群负载调至1000-5000)。示例:output.elasticsearch:
hosts: ["localhost:9200"]
bulk_max_size: 2048 # 单次批量请求的最大事件数
compression: true # 启用GZIP压缩(减少网络传输量)
3. 并发与资源控制
harvester_limit参数控制同时运行的文件读取进程数(默认无限制,可根据CPU核心数调整,如8核可设为512)。示例:harvester_limit: 512 # 避免过多harvester占用CPU和磁盘IO
scan_frequency参数减少磁盘I/O(默认10s扫描一次,日志更新不频繁时可设为30s)。示例:filebeat.inputs:
- type: filestream
scan_frequency: 30s # 文件变更检测间隔
4. 系统级优化
/etc/security/limits.conf,添加以下内容:* soft nofile 65535
* hard nofile 65535
5. 监控与持续调优
setup.monitor.enabled: true # 启用监控(需连接Elasticsearch)
grok解析、mutate过滤器),简化配置逻辑,减少CPU消耗。6. 输出配置优化
worker参数(默认1,可设为节点数),提高并行发送效率。示例:output.elasticsearch:
workers: 3 # 与ES节点数一致(如3个ES节点)
flush_interval参数控制批量发送的时间间隔(默认5s,可根据实时性要求调至1s)。示例:output.elasticsearch:
flush_interval: 1s # 批量发送的最长时间间隔
