sshota
August 21, 2020, 8:20am
1
お世話になります。
Throttle filter pluginの動作について教えてください。
以下のconfでlogstashを動作させています。
input {
~
}
filter {
~
throttle {
before_count => -1
after_count => 1
period => 60
max_age => 120
key => "%{item}"
add_tag => "throttled"
}
if "throttled" in [tags] {
drop { }
}
~
}
output {
~
}
ここで期待している動作は、itemの値ごとに、取得するデータを1分に1件とすることです。
Descriptionの
Another example is if you wanted to throttle events so you only receive 1 event per hour,~
から始まる部分です。
希望としては、①の動作をしてほしいのですが、②の動作をします。
Logstash 7.3.0
OS : Ubuntu 16.04.4 LTS
tsgkdt
August 21, 2020, 9:26am
2
こんにちわ。
拙い英語力でドキュメントをおってみました。
The period in seconds after the first occurrence of an event until a new timeslot is created.
"イベントが最初に発生してから新しいタイムスロットが作成されるまでの期間を秒単位で示します。"
最初の10:00:30にイベント発生し、60秒後の10:01:30に新しいスロットが始まっているため、ドキュメントと実際の動作に相違ないように見えました。
sshota
August 24, 2020, 5:53am
3
@tsgkdt さん
"イベントが最初に発生してから新しいタイムスロットが作成されるまでの期間を秒単位で示します。"
はい、確かにその記述は確認していたのですが、あわせてDescriptionには以下の記述もあったため、誤って認識してしまいました。
Which would result in:
event 1 - not throttled (period start)
event 2 - throttled (successful filter)
event 3 - throttled (successful filter)
event 4 - throttled (successful filter)
event x - throttled (successful filter)
period end
event 1 - not throttled (period start)
event 2 - throttled (successful filter)
event 3 - throttled (successful filter)
event 4 - throttled (successful filter)
この記述だと、period endしてから、event 1 を受信したタイミングで、period start
periodはあくまでデータを受信しない期間を指定しているだけ、というわけではないのですね。。。
sshota
August 24, 2020, 9:46am
4
本件の延長で質問させてください。
通常状態であれば絶え間なく来る大量データを、logstashを使って1分に1件のデータに間引きをしたいです。
下記の図の例でいうと、
10:00:00-59のうち最初(もしくは最後)のデータを、data-2020-08-24.1000.txtに登録する
10:01:00-59のうち最初(もしくは最後)のデータを、data-2020-08-24.1001.txtに登録する
…繰り返し
のようにしたいです。
③こうなってほしい
この度のthrottleの仕様だと、logstash起動後の初回データを受信して時点がperiod startとなるので、peirodの開始時間(秒)が定まらないこと
背景からすべて説明しきれず、恐縮なのですが、
system
September 21, 2020, 9:46am
5
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.
