Поиск по большим данным

KaKaKuRt · May 7, 2019, 11:30am

Здравствуйте.
Использую ELK стек для сбора событий безопасности Windows.
Настройки кластера:

curl http://xx.xx.xC:9200/_cat/nodes?v
ip heap.percent ram.percent cpu load_1m load_5m load_15m node.role master name
xx.xx.xA 30 99 28 3.80 3.59 4.17 mdi - ELK-MD1 (дата-нода, CPU 12, ОЗУ 64 ГБ, HDD 2 ТБ)
xx.xx.xD 19 34 0 0.02 0.07 0.08 - - ELK-K (Kibana, CPU 6, ОЗУ 8 ГБ, HDD 200 ГБ)
xx.xx.xC 14 63 1 0.01 0.02 0.00 mi * ELK-M (мастер-нода, CPU 12, ОЗУ 12 ГБ, HDD 100 ГБ)
xx.xx.xB 64 94 32 4.21 3.76 3.83 mdi - ELK-MD2 (дата-нода, CPU 12, ОЗУ 64 ГБ, HDD 2 ТБ)
curl http://xx.xx.xC:9200/_cat/master
nwg2aXi1ScCiWRBAhbs3IA xx.xx.xC xx.xx.xC ELK-M

При поиске за 4 дня и более в Kibane возникает следующая ошибка:

SearchError: Internal Server Error
at http://xx.xx.xD:5601/bundles/commons.bundle.js:4:324908
at processQueue (http://xx.xx.xD:5601/built_assets/dlls/vendors.bundle.dll.js:427:199687)
at http://xx.xx.xD:5601/built_assets/dlls/vendors.bundle.dll.js:427:200650
at Scope.$digest (http://xx.xx.xD:5601/built_assets/dlls/vendors.bundle.dll.js:427:210412)
at Scope.$apply (http://xx.xx.xD:5601/built_assets/dlls/vendors.bundle.dll.js:427:213219)
at done (http://xx.xx.xD:5601/built_assets/dlls/vendors.bundle.dll.js:427:132717)
at completeRequest (http://xx.xx.xD:5601/built_assets/dlls/vendors.bundle.dll.js:427:136329)
at XMLHttpRequest.requestLoaded (http://xx.xx.xD:5601/built_assets/dlls/vendors.bundle.dll.js:427:135225)

Есть предложения по настройки для оптимизации поиска? Хотелось бы выполнять поиск за месяцы.

Igor_Motov · May 7, 2019, 1:23pm

Эта ошибка может означать все что угодно. В логах кибаны должна быть соответствующая запись, в которой должно быть больше информации о том, что на самом деле там происходит.

KaKaKuRt · May 15, 2019, 5:25am

Извиняюсь за задержку.
Включил логирование на Kiban-e.
Но кроме 500 ошибки никакой полезной информации не увидел.

{"type":"response","@timestamp":"2019-05-15T05:55:32Z","tags":[ ],"pid":2504,"method":"post","statusCode":500,"req":{"url":"/elasticsearch/_msearch?rest_total_hits_as_int=true&ignore_throttled=true","method":"post","headers":{"host":"xx.xx.xD:5601","user-agent":"Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:66.0) Gecko/20100101 Firefox/66.0","accept":"application/json, text/plain, /","accept-language":"ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3","accept-encoding":"gzip, deflate","referer":"http://xx.xx.xD:5601/app/kibana","content-type":"application/x-ndjson","kbn-version":"7.0.1","content-length":"1287","connection":"keep-alive"},"remoteAddress":"ClientHost","userAgent":"ClientHost","referer":"http://xx.xx.xD:5601/app/kibana"},"res":{"statusCode":500,"responseTime":30022,"contentLength":9},"message":"POST /elasticsearch/_msearch?rest_total_hits_as_int=true&ignore_throttled=true 500 30022ms - 9.0B"}
{"type":"error","@timestamp":"2019-05-15T05:55:35Z","tags":[ ],"pid":2504,"level":"error","error":{"message":"Request Timeout after 30000ms","name":"Error","stack":"Error: Request Timeout after 30000ms\n at /usr/share/kibana/node_modules/elasticsearch/src/lib/transport.js:355:15\n at Timeout. (/usr/share/kibana/node_modules/elasticsearch/src/lib/transport.js:384:7)\n at ontimeout (timers.js:436:11)\n at tryOnTimeout (timers.js:300:5)\n at listOnTimeout (timers.js:263:5)\n at Timer.processTimers (timers.js:223:10)"},"url":{"protocol":null,"slashes":null,"auth":null,"host":null,"port":null,"hostname":null,"hash":null,"search":"?rest_total_hits_as_int=true&ignore_throttled=true","query":{"rest_total_hits_as_int":"true","ignore_throttled":"true"},"pathname":"/elasticsearch/_msearch","path":"/elasticsearch/_msearch?rest_total_hits_as_int=true&ignore_throttled=true","href":"/elasticsearch/_msearch?rest_total_hits_as_int=true&ignore_throttled=true"},"message":"Request Timeout after 30000ms"}

В логах ES (xx.xx.xA, xx.xx.xB, xx.xx.xC) ошибок нет.
Но в кластер также входит нода с Kiban-oй (xx.xx.xD) для мониторинга. ES на ней установлен без ролей.

Где еще можно посмотреть в чем проблема?

Igor_Motov · May 15, 2019, 3:01pm

А что в логах xx.xx.xD?

KaKaKuRt · May 16, 2019, 3:09am

xx.xx.xA 30 99 28 3.80 3.59 4.17 mdi - ELK-MD1 (дата-нода, CPU 12, ОЗУ 64 ГБ, HDD 2 ТБ)
xx.xx.xD 19 34 0 0.02 0.07 0.08 - - ELK-K (Kibana, CPU 6, ОЗУ 8 ГБ, HDD 200 ГБ)
xx.xx.xC 14 63 1 0.01 0.02 0.00 mi * ELK-M (мастер-нода, CPU 12, ОЗУ 12 ГБ, HDD 100 ГБ)
xx.xx.xB 64 94 32 4.21 3.76 3.83 mdi - ELK-MD2 (дата-нода, CPU 12, ОЗУ 64 ГБ, HDD 2 ТБ)

Это сервер на котором развернута Kibana и ES без ролей.
xx.xx.xD 19 34 0 0.02 0.07 0.08 - - ELK-K (Kibana, CPU 6, ОЗУ 8 ГБ, HDD 200 ГБ)
ES

Kibana

Igor_Motov · May 16, 2019, 7:36pm

А что в логах elasticsearch на xx.xx.xD?

KaKaKuRt · May 17, 2019, 4:48am

Ошибок в логах ES на xx.xx.xD нет.

Igor_Motov · May 17, 2019, 1:25pm

Странно, в логах ошибки 500 обычно что-то оставляют. Я думаю, что ошибка в том, что индексы за разные даты имеют разный мэппинг, и это вызывает проблемы при обработке запроса.

system · June 14, 2019, 1:25pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.

Topic		Replies	Views
Несколько вопросов по кластеру ELK Вопросы на русском языке	10	2480	May 22, 2019
Не переезжает Master-нода в кластере Вопросы на русском языке	14	1075	November 25, 2019
ELK стек под 600гб в день Вопросы на русском языке	4	754	October 23, 2019
Elasticsearch trouble Вопросы на русском языке	3	444	September 23, 2020
Вопрос по архитектуре кластера elasticsearch Вопросы на русском языке	5	1785	January 1, 2019

Поиск по большим данным

Related Topics