操作
流收集器队列 90% 已满
Apstra Flow 收集器的日志会报告错误, processor to output writer
或者 UDP Server to Flow Decoder
已满 90%。例如:
{"level":"info","ts":"2023-08-07T08:08:14.301Z","logger":"flowcoll","caller":"flowprocessor/metrics.go:118","msg":"flow processor to output writer is 90% full. This is normal when the collector is starting. If it persists for hours, it may indicate that you are at your license threshold or your system is under-resourced."}
{"level":"info","ts":"2023-08-07T08:08:34.264Z","logger":"flowcoll","caller":"server/metrics.go:125","msg":"UDP Server to Flow Decoder is 90% full. This is normal when the collector is starting. If it persists for hours, it may indicate that you are at your license threshold or your system is under-resourced."}
您可能会看到这些日志附带 throttle
日志。
2023-06-28T21:20:21.821Z warn throttle/restricted_throttle.go:105 [throttler]: start burst 2023-06-28T21:20:41.822Z warn throttle/restricted_throttle.go:111 [throttler]: stop burst 2023-06-28T21:20:41.822Z warn throttle/restricted_throttle.go:117 [throttler]: start recovery 2023-06-28T21:50:42.142Z warn throttle/restricted_throttle.go:123 [throttler]: stop recovery
问题
这些消息通常在收集器首次启动时发生,因为各种内部进程可能尚未完全初始化。但是,如果消息在最初几分钟后仍然存在,则可能存在以下问题之一:
- ONLY
flow processor to output writer
:表示正在输出数据的系统性能不足,无法以 Apstra Flow 收集器发送的速率摄取记录。这可能是由 CPU、内存、磁盘空间不足或磁盘延迟过大引起的。收集器和目标系统之间的网络带宽不足也可能导致此问题。 - BOTH
UDP Server to Flow Decoder
和flow processor to output writer
:这是先前条件的进一步进展。来自缓慢的下游系统产生的背压现在可能导致数据丢失。 -
ONLY
UDP Server to Flow Decoder
:内部解码器/处理器工作人员无法跟上接收记录的速度。此问题可能是由下列情况之一引起的:- 收到的记录数超过了许可证允许的记录数。如果是这样,
throttler
消息也会显示在日志中。 -
收集器没有足够的资源(主要是 CPU 内核)来处理接收的记录速率。
-
IP 地址、接口等缓存尚未“预热”,因此相关的高延迟扩充任务会限制吞吐量。
- 收到的记录数超过了许可证允许的记录数。如果是这样,
手动增加输出池大小,通过 EF_PROCESSOR_POOL_SIZE
通常可以解决此问题。
溶液
解决方案因问题而异,如上面的问题部分所述。
-
- ONLY
flow processor to output writer
:提高要向其发送记录的系统的性能。 - BOTH
UDP Server to Flow Decoder
和flow processor to output writer
:提高要向其发送记录的系统的性能。 - 仅
UDP Server to Flow Decoder
:- 增加收集器可用的 CPU 内核数。
- 如果收集器具有足够的 CPU 资源,请尝试通过设置 来
EF_PROCESSOR_POOL_SIZE
增加处理器池大小。这允许高延迟扩充任务的高度并发性。注意:如果
throttler
日志中出现消息,请联系您的瞻博网络销售代表,了解允许您收集其他流记录的订阅选项。
- ONLY
仪表板更新
问题:
升级 OpenSearch 仪表板时,是否还需要更新 Apstra Flow 仪表板?
答:
升级 OpenSearch 仪表板后,Apstra Flow 仪表板应继续工作。但是,如果要使用最新的仪表板,通常可以覆盖现有的已保存对象。您还可以在导入最新版本之前删除现有的已保存对象。
覆盖或删除现有的已保存对象时,之前所做的任何更改都将丢失。我们建议您首先导出任何自定义可视化效果、保存的搜索或仪表板。然后,您可以根据需要重新导入这些项目。
更改 Apstra 流索引名称
问题:
使用 OpenSearch 输出时,是否可以更改索引的名称?
答:
不支持更改 Apstra Flow 相关索引的名称。Apstra Flow 解决方案的各个组件旨在以集成方式协同工作。更改索引名称可能会破坏仪表板、索引状态管理 (ISM) 策略、机器学习作业和警报。虽然您可以在摄取记录时使用 采集管道 更改索引名称,但 Apstra Flow 不支持这种类型的环境。
更改索引名称的原因通常是为了在不同的环境、位置或其他组织单位实现多租户、单独的索引。为了简化此用例,请使用选项向 EF_OUTPUT_OPENSEARCH_INDEX_SUFFIX
索引名称添加后缀。
考虑索引名称 juniper-flow-codex-2.2-2023.01.01
。
例如,如果将后缀值staging
设置为 ,则生成的索引名称将调用:。 juniper-flow-codex-2.2-staging-2023.01.01
然后,可以通过设置索引命名模式的权限*-staging-*
来控制对staging
索引的访问。