如何解決filebeat占用Linux空間未釋放的問題

如何解決filebeat占用Linux空間未釋放的問題，針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

我們的一臺應用服務器，操作系統是Red Hat Linux，監控報警，/opt/applog文件系統使用率超閾值，整體容量為50G，但發現實際文件容量20G，剩下的30G空間是什么？

我們知道，Linux環境下，任何事物，都是以文件的形式存在，系統在后臺，為每個應用程序，分配了一個文件描述符，他為應用程序和操作系統之間的交互操作提供了通用的接口，既然是文件，就會占用空間，此時可以使用lsof指令，他可以列出，當前系統正在打開的文件。

> lsof

COMMAND      PID      USER   FD      TYPE    DEVICE  SIZE/OFF      NODE NAME

...

filebeat  111442   app  1r      REG     253,3 209715229   1040407 /opt/applog/E.20171016.info.012.log

filebeat  111442   app  2r      REG     253,3 209715254    385080 /opt/applog/E.20171015.info.001.log (deleted)

...

表頭各字段，含義如下：

COMMAND：進程的名稱
PID：進程標識符
USER：進程所有者
FD：文件描述符，應用程序通過文件描述符識別該文件。如cwd、txt等
TYPE：文件類型，如DIR、REG等
DEVICE：指定磁盤的名稱
SIZE：文件的大小
NODE：索引節點（文件在磁盤上的標識）
NAME：打開文件的確切名稱

可以看出，有一些行中，NAME標識了(deleted)，

/opt/applog/E.20171015.info.001.log (deleted)

他的含義，就是這文件已被刪除，但打開文件的句柄，并未關閉，再看COMMAND的名稱是filebeat，USER進程所有者是app，這是我們的日志采集進程，app用戶開啟了filebeat進程。

插播一下日志采集平臺

• Elasticsearch是個開源分布式搜索引擎，分布式，零配置，自動發現，索引自動分片，索引副本機制，restful風格接口，多數據源，自動搜索負載等。

• Logstash是一個開源的采集工具，他可以對日志進行收集、過濾，并將其存儲供以后使用。

• Kibana是一個開源的圖形Web工具，可以為Logstash和ElasticSearch提供日志分析友好的Web界面，可以匯總、分析和搜索重要數據日志。

對于上面提到的filebeat又是什么？和ELK有什么聯系？

知乎上有一段大牛饒琛琳的介紹(《ELKstack權威指南》作者)，非常精辟，

引自https://www.zhihu.com/question/54058964/answer/137882919

因為logstash是jvm跑的，資源消耗比較大，所以后來作者又用golang寫了一個功能較少但是資源消耗也小的輕量級的logstash-forwarder。不過作者只是一個人，加入http://elastic.co公司以后，因為es公司本身還收購了另一個開源項目packetbeat，而這個項目專門就是用golang的，有整個團隊，所以es公司干脆把logstash-forwarder的開發工作也合并到同一個golang團隊來搞，于是新的項目就叫filebeat了。簡單來講，filebeat就是日志采集的進程agent，負責采集應用日志文件。

對于我上面的這個問題，之所以有大量的(deleted)，未釋放文件句柄，還有個背景，就是由于磁盤空間非常有限，臨時加了任務，每小時刪除12小時前的日志，換句話說，定時任務會自動刪除此時filebeat正在打開著的一些文件，于是這些文件，就變為了未釋放的文件，因此實際文件刪除了，但空間未被釋放。

解決方案1：

filebeat的配置文件filebeat.yml，其實有兩個參數，

close_older: 1h

說明：Close older closes the file handler for which were not modified for longer then close_older. Time strings like 2h (2 hours), 5m (5 minutes) can be used.

即如果一個文件在某個時間段內沒有發生過更新，則關閉監控的文件handle，默認1小時。

force_close_files: false

說明：This option closes a file, as soon as the file name changes. This config option is recommended on windows only. Filebeat keeps the files it's reading open. This can cause issues when the file is removed, as the file will not be fully removed until also Filebeat closes the reading. Filebeat closes the file handler after ignore_older. During this time no new file with the same name can be created. Turning this feature on the other hand can lead to loss of data on rotate files. It can happen that after file rotation the beginning of the new file is skipped, as the reading starts at the end. We recommend to leave this option on false but lower the ignore_older value to release files faster.

即當文件名稱有變化時，包括改名和刪除，會自動關閉一個文件。

這兩個參數結合起來，根據應用需求，一個文件30分鐘內不更新，則需要關閉句柄，文件改名或刪除，需要關閉句柄，

close_older: 30m

force_close_files: true

可以滿足，filebeat采集日志，以及定時刪除歷史文件，這兩個任務的基本要求。

關于如何解決filebeat占用Linux空間未釋放的問題問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業資訊頻道了解更多相關知識。