Настроен уровень логирования debug для поисковых запросов. Только не могу понять как найти источник который дает такое сообщение. Пример:
[2020-12-21T17:08:06,606][DEBUG][o.e.a.b.TransportShardBulkAction] [elastic-hot] [graylog_1273][0] failed to execute bulk item (index) BulkShardRequest [[graylog_1273][0]] containing [109] requests
java.lang.IllegalArgumentException: Document contains at least one immense term in field="sendMessage" (whose UTF8 encoding is longer than the max length 32766), all of which were skipped. Please correct the analyzer to not produce such terms. The prefix of the first immense term is: '[123, 34, 99, 111, 100, 101, 34, 58, 48, 44, 34, 98, 111, 100, 121, 34, 58, 123, 34, 115, 101, 114, 118, 105, 99, 101, 115, 34, 58, 91]...', original message: bytes can be at most 32766 in length; got 52773
Можно включить audit log и попробовать найти соответствующий запрос, который вернулся с ошибкой. Только это не поисковый запрос. Это запрос на индексацию документа, в котором содержится поле sendMessage с очень длинным текстом, который начинается с {"code":0,"body":{"services":[. То есть, похоже, что вы огромный json как keyword поле индексируете.
Для включения audit log нужна какая либо лицензия ? Мы не пользовались kibana с x-pack до этого. Подскажите а как вы поняли что документ начинается с {"code":0,"body":{"services":[ ?
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant
logo are trademarks of the
Apache Software Foundation
in the United States and/or other countries.