使用vector采集StarRocks的审计日志
原创
目前发现Starrocks2.5版本中审计日志插件有丢日志和日志截断的情况。因此额外使用vector采集一份,作为补充。
配置文件如下:
cat config/main.toml
data_dir = "/var/lib/vector"
[api]
enabled = true
address = "0.0.0.0:8686"cat config/fe_audit_log.toml
[sources.fe_audit_log]
type = "file"
include = [ "/opt/StarRocks-2.5/fe/log/fe.audit.log"]
glob_minimum_cooldown_ms = 10000 # 日志文件发现的间隔 10s
#fingerprinting.strategy = "device_and_inode" # 推荐,用于准确跟踪文件
ignore_older = 86400000 # 1 day
max_line_bytes = 10240000 # 单行记录超过1020KB则丢弃
read_from = "beginning" # 可选择 beginning 和 end
[sinks.es_cluster]
inputs = [ "fe_audit_log" ]
type = "elasticsearch"
endpoints = ["http://172.19.31.244:9200"]
[sinks.es_cluster.batch]
"batch.max_events" = 1000
"batch.timeout_secs" = 2
[sinks.es_cluster.buffer]
type = "disk"
max_size = 536870976
when_full = "block"
[sinks.es_cluster.bulk]
index = "starrocks-auditlog-%Y.%m"前台启动
./bin/vector -c config/main.toml -c config/fe_audit_log.toml 自启动配置文件
cp etc/systemd/vector.service /usr/lib/systemd/system/vector.service
chmod +x /usr/lib/systemd/system/vector.service
systemctl start vector.service
systemctl status vector.service
systemctl enable vector.service原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
腾讯云开发者
