这个问题与这个有关。 我们现在知道这些错误来自elasticsearch。 尽pipe对es实例进行了修改和优化,问题仍然没有解决。 每隔2个小时,es服务器变得不可用:由对等错误导致超时或连接重置。 我们认为这与此有关: 我不太了解这张图,因为白天没有任何索引。 索引过程只在凌晨2点每天启动一次,运行没有问题。 我有其他的Grafana报告,我应该在哪里看? 一些数据: 版本: elasticsearch: 1.7.5
我试图configurationlogstash发送电子邮件警报和日志输出在elasticsearch / kibana。 我有通过rsyslog成功同步的日志,但我运行时遇到以下错误 /opt/logstash-1.4.1/bin/logstash代理-f /opt/logstash-1.4.1/logstash.conf –configtest 错误:期望在第23行,第12列(字节387)之后的#,{,,,]过滤{if [program] ==“nginx-access”{ grok {match => [“message”,“%{IPORHOST:remote_addr} – %{USERNAME:remote_user} [%{HTTPDATE:time_local}]%{QS:request}%{INT:status}%{INT:body_bytes_sent} %{QS:http_referer}%{QS:http_user_agent}“]}}} 输出{stdout {} elasticsearch {embedded式=>假主机=>“ 这是我的logstashconfiguration文件 input { syslog { type => syslog port => 5544 } } filter { if [program] == "nginx-access" { grok { match => [ "message" , "%{IPORHOST:remote_addr} – %{USERNAME:remote_user} \[% {HTTPDATE:time_local}\] %{QS:request} […]
我运行了许多独立的Logstash服务器,以允许从Web应用程序服务器查看日志文件。 其中一个最近报告由于未分配的碎片导致的黄色簇状态。 这是一个常见的事件,我通常通过删除最近的索引并重新启动Elasticsearch来处理。 在这种情况下,它没有工作。 当我删除索引(通过API或简单地从文件系统中删除文件)并重新启动Elasticsearch时,群集状态最初是绿色的,但是一旦创build了第一个索引,它就会变成黄色,精确的有5个未分配的碎片。 这台服务器工作了好几个星期,并没有加载。 我也检查过CIDR中没有其他的Elasticsearch服务器(它在Amazon AWS的VPC中)。 我打开日志中的debugging,但它的双重荷兰人给我。 没有提及不能被分配的碎片。
我不是一个顽固的Linux工程师,但是我在启动Elastic Search时遇到了一些问题。 一些统计数据: 服务器:Ubuntu服务器11.04弹性search:1.2.3(与appitude安装) 当我启动弹性search时,“开始”没有错误: * Starting Elasticsearch Server (一遍又一遍地) 当我运行状态时,我得到: * could not access PID file for elasticsearch 位于这里的pid文件有正确的权限(我猜?): -rw-r–r– 1 elasticsearch elasticsearch 0 2014-08-11 12:26 /var/run/elasticsearch.pid 此外,elasticsearch用户还存在于/ etc / passwd文件中。 我也尝试清除弹性search,并再次安装它,但没有帮助。 有什么build议么?
您好运行Windows Server 2008 R2企业。 我的服务器有128GB的RAM。 我使用的Elasticsearchconfiguration了ES_HEAP_SIZE = 30GB 与任务pipe理器 私人工作集:33GB 工作集:97GB 用RAMMap.exe查找 进程私有总数:34GB 进程私有活动:34GB 映射文件总计:90GB 映射文件活动:64GB 让我们说,所有进程在那里运行约95GB免费。 是否有可能告诉Windowscaching高达90GB的映射文件,并保持5GB打开?
试图在谷歌计算引擎服务器上设置ELK堆栈我发现谷歌提供的“点击部署”解决scheme已经过时了。 无论如何,我尝试在ES上安装Logstash和Kibana,只是发现我无法连接到Kibana(尽pipe从Google计算和外部世界连接到elasticsearch本身都没有问题)。 有了ELK堆栈已经在AWS Ububnu 14.04机器上工作,我想我会尝试开始一个新的机器,并安装在谷歌计算自己的一切。 安装ES之后,我再次发现无法从外部连接到ES(在默认端口9200上,当然这与点击部署一起工作)。 这里值得注意的是,那些可能用于内部使用的点击部署服务器,因为它们有短暂的IP地址,而我用静态IP定义了所有的机器(围绕这个问题进行testing也是死路一条)。 在所有情况下,我的服务器的结果是相同的 – 我得到的错误是ERR_CONNECTION_REFUSED。 这(令人惊讶地)让我认为我错过了一些防火墙的定义。 我尝试打开一个不同的端口,并在服务器端用netcat -lp <some-port>监听它 然后我尝试从远程机器运行相同的请求,我会弹性运行,但在新的端口上: curl -X GET 'http://<static-ip>:<some-port>' 请求继续没有问题 我停止elasticsearch并启动netcat -lp 9200 curl -X GET 'http://<static-ip>:9200'来自移除机器就像一个魅力。 即使打开所有机器的相关端口并重复整个过程(使用所有不同的组合),我意识到我可能错过了其他的东西。 用谷歌实例尽我所能地完成这个工作还是另一个死胡同。 我在这里错过了什么? ES或GCE中是否有另一个连接定义?
我在Amazon AWS上有许多CoreOS服务器,并希望收集来自它们的事件或日志,并将它们转发到我的ELK堆栈提供程序logz.io上。 对于ELK堆栈来说,我有点新意,但是在如何最好地获取数据方面我有些遗憾。 有人build议我使用filebeat。 但是filebeat可以和普通的日志文件一起工作,而且大部分数据正在被input到日志文件中。 我所有的服务都在docker上运行,我看到docker有logging驱动程序的想法。 我能以某种方式插入吗? 有一个叫做journalbeat的项目,看起来很有前途,但是不完整,目前正在转发一切。 我只想具体的单位,实际上,具体的事件。 所以我可能不得不在这个项目上工作,使它做我所需要的。 但是,在我进一步去之前,或许还有另一种方式呢? 例如我可以在机器上运行的另一个轻量级服务,它可以接受日志logging事件并将其转发。 只要它不是logstash,因为这会占用我已经有的内存太多的资源,并且cpu会限制aws实例。 我当然不是唯一遇到这种问题的人。
我们目前正在设置一些主机,通过omelasticsearch和omelasticsearch将其日志omelasticsearch到omelasticsearch集群。 omelasticsearch手册似乎只允许configurationES群集的一个服务器名称,这将是单点故障。 如何将日志loggingconfiguration为login到ES群集的任何节点,而不仅仅是一个,这样可以抵抗一个节点的故障? 目前我们已经为ES集群configuration了一个共享的IP地址,并将其用作服务器名称(这是可行的)。 omelasticsearch可以使用多个主机吗?
我正在设置一个Graylog,我得到以下错误: Loading field information failed with status: cannot GET http://192.168.2.108:12900/system/fields (500) 我在这个页面上: http : //docs.graylog.org/en/2.1/pages/getting_started/check_messages.html 我看不到“直方图”或“search”结果。 但是,我从许多linux服务器的streamrsyslog中获取消息。 这是我的尾巴: tailf /var/log/graylog-server/server.log 2016-10-04T22:43:24.753-04:00 INFO [IndexerClusterCheckerThread] Indexer not fully initialized yet. Skipping periodic cluster check. 2016-10-04T22:43:54.755-04:00 INFO [IndexerClusterCheckerThread] Indexer not fully initialized yet. Skipping periodic cluster check. 2016-10-04T22:44:24.757-04:00 INFO [IndexerClusterCheckerThread] Indexer not fully initialized yet. Skipping periodic cluster […]
我有一个工业系统生成日志文件,其中一些行看起来像这样: component1 v1 component2 v2 component3 v3 … 其中vx是一个数值(例如3.14159 )。 我正在运行一个超级基本的ELK堆栈,我想提取这些字段/值。 我不知道如何/在哪里攻击这个问题。 这是一个logstashconfiguration,应该完成从单行提取字段?