这是我的 json 日志文件。我正在尝试通过我的 logstash 将文件存储到我的弹性搜索中。

这是我的文件beat.yml

在 elasticserach 中无法查看。无法找到错误。文件节拍日志

2019-06-18T11:30:03.448+0530 INFO registrar/registrar.go:134 从 D:\Development_Avecto\filebeat-6.6.2-windows-x86_64\data\registry 加载注册商数据 2019-06-18T11:30:03.448 +0530 INFO registrar/registrar.go:141 从注册商加载的状态：10 2019-06-18T11:30:03.448+0530 WARN beater/filebeat.go:367 Filebeat 无法加载配置模块的摄取节点管道，因为Elasticsearch 输出未配置/启用。如果您已经加载了 Ingest Node 管道或正在使用 Logstash 管道，则可以忽略此警告。2019-06-18T11:30:03.448+0530 INFO crawler/crawler.go:72 加载输入：1 2019-06-18T11:30:03.448+0530 INFO log/input.go:138 配置路径：[D:\Development_Avecto \test-log\tn-logs\im.log] 2019-06-18T11:30:03.448+0530 信息输入/input.go: 114 开始输入类型：log；ID：16965758110699470044 2019-06-18T11:30:03.449+0530 INFO crawler/crawler.go:106 加载和启动输入已完成。启用的输入：1 2019-06-18T11:30:34.842+0530 INFO [monitoring] log/log.go:144 过去 30 秒内的非零指标 {"monitoring": {"metrics": {"beat":{ "cpu":{"system":{"ticks":312,"time":{"ms":312}},"total":{"ticks":390,"time":{"ms":390 },"value":390},"user":{"ticks":78,"time":{"ms":78}}},"handles":{"open":213},"info": {"ephemeral_id":"66983518-39e6-461c-886d-a1f99da6631d","uptime":{"ms":30522}},"memstats":{"gc_next":

我正在使用客户端服务器，因此无法编辑 elasticsearch.yml 文件。我使用了ignore=400参数。帮我解决这个错误elasticsearch.exceptions.RequestError: RequestError(400, 'too_long_frame_exception', 'An HTTP line is greater than 4096 bytes.')。在这里，我在 kibana/app 中有 928068 个文档。

我需要一个解决方案来将弹性搜索从 1.7.6 升级/迁移到 7.0，其中包含所有数据和报告。有什么办法吗？

提前致谢。

我对 Kibana 的超时有一个大问题。我正在通过 Filebeat 和 Elasticsearch 管道从 Nginx 收集日志。一切运作良好。但是，当我尝试启动由 Filebeat 创建的仪表板 Nginx 概述时，例如过去 5 天 Kibana 在 30 秒后超时。

ELK 堆栈放置在没有副本的 1 台服务器（只有 1 个实例）上。索引每天滚动（索引有 1 个分片）

首先是一些数据：

服务器：

堆

弹性搜索.yml

jvm.options

其余选项为默认值。

问题

有没有办法用我当前的设置来提高弹性搜索的速度？我希望能够获取超过 3 天的数据。

我有 1 个客户端节点、1 个主节点和 3 个数据节点的 ELK 集群。主节点和数据节点具有附加到它的卷。每个数据节点的卷为 200GB。这些卷都没有加密，现在我想加密这些卷。

当我们只有一个 statefulset 副本并使用一个卷挂载时，这很有效。但对于 3 个副本，它无法附加到卷。kubernetes 中有一个选项使用“加密”标志给出卷定义，但是我们必须在部署/状态集中指定声明名称。我们可以在状态集中指定声明名称，但前提是我们有一个声明要指定。但由于我的 elk 集群有 3 个数据节点，我们无法在 statefulset 中指定一个特定的声明名称。

我尝试通过将存储类“加密”标志设置为 true 来动态执行此操作，如下所示：

那么我们必须在声明中使用这个存储类，如下所示：

然后需要在 statefulset 中指定声明名称，如下所示：

所以我不能用这个解决方案。

手动替换也是不可能的，因为 3 个卷已附加到一个 statefulset。

我希望卷被加密，但不能加密它们。

请帮助我，在这种情况下如何实现卷加密？

之前提出了类似的问题，并根据类似的答案提供了下面的原始代码。我的要求是在弹性搜索中“循环”/滚动所有当前索引的文档以获取其唯一 ID 的列表。下面的代码适用于前 1000 个文档，但随后卡在 do while 循环中而没有检索到新的 id。它可能不会进一步滚动？有人可以这么好心并指出错误/问题吗？谢谢！

• 我正在使用 elasticsearch 7.2 版，并且正在
  改进应用程序进行的 ES 调用的性能
  。
• 根据我的阅读，如果我们没有设置“搜索分析器”，默认情况下将设置标准分析器。
• 但是在不需要分析器的情况下，拥有分析器可能会影响性能。将所有字段都作为“关键字”可以防止这种情况吗？
• 或者有没有其他方法可以禁用这个“搜索分析器”

Ps：对于任何答案，如果您可以将我指向答案所依据的 ES 官方文档，我将非常感激。

我正在尝试将虚拟 nodejs 应用程序集成到 ELK 堆栈中。我使用 winston 作为日志库，因为它是我在 JS 堆栈上开发时的首选。我尝试使用winston 3.x 版本编写这段代码

结果是

所以我已经阅读了官方说明，其中指出 logstash 支持现在是一种格式

现在输出是

没关系，但是由于我没有告诉如何连接 logstash 套接字，所以集中式日志记录系统没有收到此事件。

我已经尝试将 winston 降级到 2.4.1 并且它工作正常，除了我失去了后来版本中引入的一些好的功能这一事实。我没有找到任何关于 3.x 版本的 logstash 支持的文档。我错过了什么还是我必须写一些自定义的东西？

我有一个单节点 ElasticSearch 集群，它有一个索引（我知道，我的错），我在其中插入了 2B 文档。

我不知道拆分索引是最佳实践，我的在崩溃之前增长到 400GB。

我尝试使用（https://www.elastic.co/guide/en/elasticsearch/reference/current/indices-split-index.html ）拆分我的索引，无论我做什么，我都会不断收到java.lang.OutOfMemoryError 。我已经用尽了我的物理内存，线程刚刚卡在 _split 中。

我有一些文件在成功建立索引后通过 logstash 删除，因此重新插入数据不是一种选择。

有什么建议么？

我正在尝试在我的小型服务器 2 Core / 2G RAM 上部署 ELK。但是ELK堆栈服务器只是不断重启并且无法工作。

打印在这些容器上的日志没有显示任何错误，并且只有一些关于不推荐使用的方法的警告。

Kibana 和 elasticsearch 容器没有错误打印

这是 docker stack composer 文件：https ://github.com/deviantony/docker-elk/blob/master/docker-stack.yml 。除了降低堆大小之外，我没有改变任何东西。

但是如果我使用docker-compose而不是docker stack deploy集群模式，一切都会顺利进行。

此外，当我启动服务时，我的 CPU 跃升到 100%，而内存使用率只有 60%。

我该如何调试这个问题？提前致谢。