ManageEngine\EventLog Analyzer\ES\CachedRecord文件夹太大了?
ManageEngine\EventLog Analyzer\ES\CachedRecord文件夹中是缓存的日志数据,即收到了日志,但是在排队等待处理。
引起该文件夹过大的原因有多种:
1.运行ELA的服务器上或者公司内其他专用服务器上的杀毒软件(Antivirus scanner)在扫描ManageEngine文件夹,误把产品运行时产生的如Java文件当成恶意病毒程序,由此影响产品正常运行,日志都在排队处理,却处理不了。
解决方案:请把ManageEngine文件夹及所有子文件夹加入到杀毒软件程序的白名单。
2.分配给ELA的运行ES memory和java memory太少了,而日志量又大,导致处理速度跟不上不断发过来的大量日志。
解决方案:
-分配更多的ES memory – 导航到<安装目录>\ManageEngine\EventLog Analyzer\ES\config,打开wrapper.conf文件,或者es-additional-wrapper.conf文件,已管理员身份编辑后并保存:
-分配更多的java memory- 导航到<安装目录>\ManageEngine\EventLog Analyzer\server\conf,打开wrapper.conf文件,已管理员身份编辑后并保存:
以上是两个主要的原因以及其解决方案,其他原因具体分析。
Related Articles
ELA-在哪里可以设置CachedRecord触发告警的阈值?
如下图,在产品设置的通知下面,可以定义当未处理的日志文件到达多少时,需要触发告警发送通知。 对应到产品的安装路径中,是下图ES中的CachedRecord文件夹中的live log数。 -正常状态:没有或几乎没有待处理的日志: -不正常状态:很多传过来的live logs,在排队处理,一直在增加: 注意:对于该告警发送时间间隔(5分钟)不可更改,请管理员收到通知后及时处理,以防未处理的日志堆积太多导致产品停掉。EventLog Analyzer安装目录文件夹占用磁盘空间太多
首先我们需要定位是ManageEngine下的EventLog Analyuzer具体哪个文件夹占用了大量的磁盘空间,不一定是产品问题。 以下是可以检查的几个文件夹: 1. 脱机日志数据归档文件夹(即对应的归档处设置的Archives):\ManageEngine\EventLog Analyzer\archive 2. ES文件夹:\ManageEngine\EventLog Analyzer\ES 2.1 ES里面的日志缓存文件夹:\ManageEngine\EventLog ...ManageEngine\EventLog Analyzer\ES\data\ELA-C1\nodes\0\indices文件夹太大了?
ES中的indices文件夹中存储的是日志数据的索引,当用户在产品UI执行日志搜索时,产品会参考索引文件以检索所需的数据。 当DB retention设置的天数太长,且日志量大的时候,Online live logs太多,索引也会过多,导致indices文件夹很大。 检查DB保留天数: 如果这里的天数不是很长,比如只有30天,那请在浏览器中访问ELA产品URL后面加上rawConfig.do。 ...EventLog Analyzer\ES\archive和EventLog Analyzer\archive分别是什么文件夹?
EventLog Analyzer中的日志处理经历两个阶段: 第一阶段:收到原始日志数据时,日志保留方式是Online retention(联机保留); 即产品在运行的时候,产品界面UI中显示的那些日志数据是来自EventLog Analyzer\ES\archive。 即下图设置的该天数内的日志数据: 第二阶段:但是日志不能永久通过Online索引,这会影响产品运行性能,这就涉及到第二阶段“Offline retention”(脱机保留); ...关于EventLog Analyzer产品许可中的应用程序数量的许可
关于EventLog Analyzer产品许可->应用程序数量的许可: 使用的应用程序数量的许可(第1张截图)对应着产品中4个地方的配置(第2张截图)↓ 注意:MS SQL Server 不包含在上述所说的应用程序的许可里面,SQL Server是单独按Add-on收费的。请参考ELA-关于MS SQL配置和许可问题 (manageengine.cn)