Bonjour,
Je constate un soucis sur mon ELK actuellement en pré-production, et je ne comprends pas d’où ça vient ...
En fait, quand je visualise les logs dans Kibana, ceux ci ont systématiquement entre 25 et 40 minutes de retard par rapport à l'instant T.
Je n'avais pas de décalage de temps lors de mon maquettage qui ne comportait que très peu de logs, contrairement à mon serveur qui lui en emmagasine beaucoup plus ( +/- 2 millions par semaine ) ce qui me fait penser qu'il y a un goulot d'étranglement quelque part, d'autant plus que ma VM sur laquelle tourne mon ELK est légèrement sous dimensionné par rapport au volume de données à traiter.
Néanmoins, j'ai de gros doutes sur Logstash étant donné que j'arrive à avoir des logs à jours en direct sur Kibana quand je redémarre le service Logstash.
Par contre, le décalage se recrée petit à petit jusqu’à aller jusqu’à 40 minutes max, et le plus contraignant est que tout ces logs que je n'avais pas en direct dans Kibana sont perdus lors du redémarrage du service LS !
J'ai vu qu'il existait des solutions de "file d'attente" comme Redis, est ce que la mise en place d'un tel serveur entre LS et elasticsearch pourrait régler mon problème ? Sachant que le but est d'avoir des logs en direct dans Kibana ...
Pour donner une idée sur l'environnement, ELK tourne sur un conteneur LXC avec 4Go de RAM. Pas de cluster donc, et les trois services sont sur le même serveur. Les logs que je récupère proviennent quasiment tous d'un serveur Rsyslog distant en UDP.
J'effectue également pas mal de filtrage sur les logs afin d'identifier d’où ils proviennent et les indexer en conséquence. Si besoin de plus d'infos, pas de soucis.
Si quelqu'un a une idée, je suis preneur ! Merci.