Добрый день!
Есть ли способ найти логи, которые не получилось распарсить в ELK (warning вида "could not index event to elasticsearch - failed to parse"), имея имя индекса и id объекта?
Пробовал делать с помощью GET index/_search { " query": {"terms": {"_id": [ "id"] ..., но таким образом можно получить лишь общую информацию, что объект существует.
Когда фильтров много, порой сложно определить, где именно (в каком логе) искать ошибку
Это значит, что этот документ не был индексирован в elasticsearch (скорее всего из-за несовместимого маппинга). Если что-то не было добавлено в индекс, то найти эту запись в индексе не возможно, так как ее там нет. Я бы начал с анализа логов logstash.
К примеру, ошибка из лога logstash - "object field starting or ending with a [.] makes object resolution ambigiouts: [.name]"
Таких полей в фильтрах нет, где же искать проблему непонятно. Вместо "[.name]" может быть "[.TypeName]" и т.д.
В этом случае можно dead letter queue настроить, все что не будет индексироваться, должно туда свалиться.
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.
© 2020. All Rights Reserved - Elasticsearch
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant logo are trademarks of the Apache Software Foundation in the United States and/or other countries.