MOMO-veriid

1.已更新gitlab
2.待確認ES的document_id從何而來 -> 目前估計是從Elasticsearch自動生成的 _id，通常是隨機的UUID經base64編碼20到22個字符 -> 改veriid_trans_id當ES index的_id
3.SQL語句修改，刪掉create_time > :sql_last_value 、date(create_time)改create_time便於使用index

4.history資料無急迫性，一個月估220萬筆，若每2分鐘撈500筆，一周可達250萬筆。config新增參數SCHEDULE、HISTORY_SCHEDULE，並測試完成
5.已新增docker base image 之 Dockerfile

週四 MOMO 預計完成項目:
1.確認上周LOGSTASH是否正常
2.確認PG、ES資料筆數是否一致
3.確認資源負載是否正常
4.確認ES index(veri_id_momo_tb_model_account_takeover_predict_data_v2.0、veri_id_momo_tb_model_fraud_detect_predict_data_v2.0) _id是否是veriid_trans_id
5.佈署LOGSTASH，撈取11月資料
6.觀察機器資源附載狀況
7.考慮刪除ES index(veri_id_momo_tb_model_account_takeover_predict_data_v2.0、veri_id_momo_tb_model_fraud_detect_predict_data_v2.0)舊資料，也可下次再刪
8.修改正元(Thomas)看的dashboard index

12/5 MOMO佈署logstash工項:

1. momo的dba回覆，他們11/29七點後 裝pg的機器掛掉，可能因此影響到我們docker也掛掉，目前調降讀db頻率: 100筆/20秒
2. 11/29 佈署的logstash同步資料，確認筆數一致
3. 目前佈署新版logstash，cpu限制2.5、memory 限制4G
4. ES index的document_id不是veridi-trans-id
5. 已佈署LOGSTASH，設定撈取11/1之後的資料，及即使同步的資料
6. 目前觀察十分鐘 cpu佔用最多1.5顆、memory1.56 GB
7. 目前11月無舊資料，因此資料不會重複，安排下次刪除11月前的舊資料
8. 正元(Thomas)看的dashboard已改回原index

12/6 :
確認MOMO ES 12/5資料筆數(SmartFDS 23萬、ATO 23萬、FD 23萬)
203的ES 12/5資料筆數(SmartFDS 23萬、ATO 18.9萬、FD 23萬)
http://192.168.10.203:5601/app/dashboards#/create?_g=(filters:!(),refreshInterval:(pause:!t,value:0),time:(from:'2024-02-29T16:00:00.000Z',to:now))

12/12 修改logstash docker:
只啟動即時pipeline的docker，限制2 CPU、2.5 MEMORY

目前logstash設定:為從PG撈取11/1-11/30的所有資料，以每100筆批次讀取。
一旦數據提取完成，Logstash 將其放入內部事件處理管道中，而寫入ES以flush_size批次寫入。
預設flush_size=500筆，idle_flush_time=1s。flush_size 不能超过 Logstash 的 pipeline.batch.size，否则将以pipeline.batch.size为批量发送的大小。
pipeline.batch.size 是 Logstash 處理事件時的內部批量大小。
idle_flush_time是Logstash在累積到flush_size之前的等待時間，但超過了 idle_flush_time，Logstash 會強制執行批量操作
Logstash 並非一次性將整個查詢結果載入內存，而是按 db_fetch_size 分批讀取以減少內存壓力。

output {
elasticsearch {
flush_size => 20000
idle_flush_time => 10

在每次input->filter階段休息幾秒再執行filter->output，讓大量請求都等待兩秒再執行，並不能達到每次output都等待一段時間間隔的效果，因為query階段
filter {
ruby {
code => "sleep(2)" # 每次事件處理後延遲 2 秒

Logstash 的處理方式是 流式處理（streaming processing），並不會等待所有數據（例如你的 1 千萬筆 SQL 查詢結果）都讀取完畢後才進入後續的 filter 和 output 階段。相反，它會依據 pipeline.batch.size 等配置，分批處理數據。

Logstash 的處理流程

Input 插件
Input 插件（例如 JDBC 插件）負責從數據源（如數據庫）查詢數據。
查詢結果會被逐步送入 Logstash 的內部隊列，而不會一次性讀取所有數據。
Pipeline 緩衝機制
Logstash 的管道有內部緩衝，受 pipeline.batch.size 和 pipeline.workers 控制。
每次從內部隊列提取最多 pipeline.batch.size 條事件，進入 filter 和 output 階段。
Filter 和 Output 階段
提取的批次事件會經過 filter 插件處理。
經過過濾後的數據進入 output 插件（如 Elasticsearch 插件）進行寫入。
整個流程是以批次方式分段執行，直到所有數據都被處理。

對應措施:
1.目前logstash等待連線5秒 / retry 5次 -> 可考慮延長時間及retry次數
2.增加logstash每次寫入DB的時間間隔
3.延長logstash等待連線時間:5s -> 30s
4.調高ES連線池總數量
5.更改SQL設計為，撈取PG 11/1-11/2資料，下一個排程撈取11/2-11/3資料，依此類推