ELK入门——解决:删除索引,重运行logstach后messages数据量变少

最新推荐文章于 2023-10-31 11:29:05 发布
最新推荐文章于 2023-10-31 11:29:05 发布
阅读量1.2k 收藏 6
点赞数 2
分类专栏: ELK入门 文章标签: logstash ELK sincedb Filebeat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Netceor/article/details/112992149
版权

logstash在第一次导入数据时将自动创建一个文件监控记录(sincedb),则logstach会认为该文件已经读取过,即使删除索引,也不会重头读取。导致重新运行logstash会发现记录量非常少,可能只有几十条或者几百条。有多种解决办法

其实这个也不是只适用于messages文件,只是我在初学时导入messages碰到了这个问题,后续可能也会继续更新一些其他beat导入后数据量变少的解决方案

一、禁止sincedb(不连接beat)

在logstash配置文件中加入代码行sincedb_path => "/dev/null",即

input {
  file {
    path => "/var/log/messages"
    type => "systemlog"
    start_position => "beginning"
    stat_interval => "2"
    sincedb_path => "/dev/null"
  }
}


output {
  elasticsearch {
    hosts => ["172.31.187.59:9200"]
    index => "logstash-systemlog-test"
  }
}

利用这行代码,会禁止sincedb,此时运行时无法读取到监听记录,于是会认为未读取过文件,从头读取。

二、清空sincedb(不连接beat)

清空logstash-input-file插件的文件监控记录(sincedb)。利用命令找到sincedb文件并删除,重新启动

注意删除sindb之前要将logstash停止运行,否则可能会报错。

依次运行以下指令:

# 停止logstach
systemctl stop logstash

# 找到文件
find / -name .sincedb_*

# 转到目录
cd /var/lib/logstash/plugins/inputs/file/

# 删除文件
rm .sincedb_*

# 重新运行
systemctl restart logstash

运行后到head查看,这时应该已经有了相关的记录,有可能有延时可以多刷新几次。

三、Filebeat+Logstash

如果是使用Filebeat通过端口传输到Logstash,那么要处理的内容就是Filebeat这边的读取记录,在filebeat的执行路径下有一个registry文件,终止Filebeat后,再删除此文件,可以直接用查找命令查到文件。但要注意我们要删的是在filebeat下的记录。

# 查找filebeat进程
ps -ef |grep filebeat

# 终止
kill -9 XXXX

# 找到记录文件
# find / -name registry

# 删除
rm -rf /var/lib/filebeat/registry

# 启动
systemctl restart filebeat

再看数据就会发现恢复到万的量级了

但是这些方法有一个缺陷,如果未删除索引,多次运行,会导致数据量重复和倍增。当索引数量过多时,没掌握快速删除索引的方法(比如我),就会变得很麻烦,效率很低。所以建议在前期不要创建通用的命名方式形成过多索引,可以用一个test测试方便删除,或是命名格式以月份而不是天数为主,就会大大降低索引数量

 

参考博客

logstash导入数据到Elasticsearch踩过的坑详解

[Logstash] 如何找到并清空logstash-input-file插件的文件监控记录(sincedb)?

Netceor
关注
专栏目录
ELK——企业级日志管理系统
kid00013的博客
06-15 1556
目录1.ELK介绍2、为什么要使用 ELK3.完整日志系统的基本特征4.ELK工作原理5.部署ELK5.1 安装elasticsearch5.2 安装可视化插件5.3 安装logstash5.4 安装kibanaELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana1、Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负
ELK——Logstash数据采集、Kibana可视化
wwy0324的博客
11-01 2147
一、logstash简介 Logstash是一个开源的服务器端数据处理管道。 logstash拥有200多个插件,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的 “存储库” 中。(大多都是 Elasticsearch。) Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。 ...
cleanlastic:删除 logstash 弹性搜索索引
06-21
清洁弹力 删除 logstash 弹性搜索索引 /!\ 警告 /!\ 此存储库是公开的。 请勿包含任何应保持私有的内容:IP、AWS 凭证等。 运行脚本 node cleanlastic.js host days host : 指向弹性搜索服务器的 url,包括端口号,没有尾部斜杠。 days : 保留在日志中的天数。 必须是正整数 依赖关系 < 0.12.x - 与 Node 0.12.x 不兼容 设置 将文件 cleanlastic.js 复制到其目的地 安装依赖项: npm install moment request 设置 cron 表
删除索引
liehuoliaoyuan的专栏
06-06 369
drop index student
ES删除3天前的logstash索引
bo729892905的博客
07-05 703
删除logstash-prod-yyyy.mm.dd三天前的索引
ELK索引清理
weixin_38367535的博客
08-12 986
主要针对Elasticsearch操作 我这里的数据没必要留存很久,像java日志只是给开发实时查看的,nginx日志用来写周报图表用,也没必要留存很久。 主要操作: 查看所有索引(包含索引数据大小) curl 'localhost:9200/_cat/indices?v' 可以加grep过滤 删除索引(也删除了对应的数据) curl -XDELETE http://localhost:9200/axt_examination_log-2021.07.30 #删除单条索引 curl -X
ELK日志系统之ES索引删除
九韭酒的博客
11-10 1743
ELK日志系统之ES索引删除 公司ELK日志收集系统,运行三年之久,积累了很多的日志索引,条件有限elasticsearch单机部署不堪负,终于罢工,清理磁盘也挽回不了的那种。启巨慢,且经常启动不起来,看日志一直在刷索引。于是,想要清理老旧日志,顺道优化,以绝后患。
ELK——Logstash filter的使用和Kibana应用
w1206507055的博客
06-18 867
Logstash filter 的使用和Kibana应用
ELK日志分析平台——logstash数据采集(本地数据收集、远程ES节点数据收集、数据收集时的优化)
weixin_45792518的博客
06-12 1360
1.什么是logstashLogstash是一个开源的服务器端数据处理管道。 logstash拥有200多个插件,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的 “存储库” 中。(大多都是 Elasticsearch。) Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。 2.logstash中的元素介绍 输入:采集各种样式、大小和来源的数据 Logstash 支持各种输入选择 ,同时从众多常用来源捕捉事件。 能够以连续的流式传输方式,轻松地从您的日志、指标、
ELK日志分析平台——kibana数据可视化(安装与配置、ELK的结合应用、xpack安全验证)
weixin_45792518的博客
06-12 429
1.什么是kibana? Kibana 是一套基于Elasticsearch的web分析与可视化平台,能对Elasticsearch中的数据进行搜索、查看和分析等交互操作,也能以图表、表格和地图等形式对数据进行可视化,帮助用户更好地理解数据,尤其是大数据。 Kibana 核心产品搭载了一批经典功能:柱状图、线状图、饼图、旭日图,等等。 将地理数据融入任何地图 精选的时序性 UI,对Elasticsearch 中的数据执行高级时间序列分析。 利用 Graph 功能分析数据间的关系 Kibana 开发工具为开发
新使用logstash运行配置文件
weixin_45592977的博客
12-14 420
logstash
kinana 清空索引数据_elasticsearch – 为什么在logstash删除索引后,Kibana仍会显示它?...
weixin_36418862的博客
02-26 893
我有2个索引movie_indexer和trial_indexer.我使用以下命令删除movie_indexer:curl -XDELETE "http://localhost:9200/movie_indexer/"然后我申了Kibana.它仍显示索引及其值.我用的时候curl -XDELETE "http://localhost:9200/.kibana"之后,trial_indexer失踪...
kinana 清空索引数据_(Elasticsearch)实战Elasticseartch、Logstash、Kibana
weixin_39717704的博客
02-26 313
1、Elasticsearch的堆栈内存设置建议image.png2、elasticsearch.yml设置中文分词器:/usr/share/elasticsearch/bin/elasticsearch-plugin install https://github.com/medcl/elasticsearch-analysis-ik/releases/download/v6.5.4/elasti...
ElK搭建后LogStash没有往elasticsearch插入数据
weixin_42226303的博客
06-30 527
首先要排查下 logstash的配置文件 logstash.conf input { file { type => "java_nc_access" path => "C:/Users/lei41/Desktop/fsdownload/sxs-config.log" start_position => "beginning" #从文件开始处读写 } } output { elasticsearch {
mysql数据,通过logstash同步到elasticsearch,数据丢失
随风飘流的博客
12-20 2429
测试同学反馈,某业务商品数据查询不到,但数据库里面存在。 我们商品数据,从es中查询的。通过logstash,将mysql里面的数据同步到es中。 查看了下es中,该数据确实不存在。 新构建index 然后做了一次全量数据同步,发现es中的数据总量低于mysql中数据源的数据总量。 原因: sql有问题。数据查询sql,未指定排序。使用的默认排序,库表使用的InnoDB引擎。 当数据发生del...
Logstash起步增量更新(无需全量更新)配置 大赏
crazyo2jam的博客
03-18 2526
正好最近公司用ELK就琢磨了一些,也不算很全但是大概差不多使用的就这些 logstash是这样的和es kibana的配置文件不太一样,你需要自己创建 下载地址https://www.elastic.co/cn/downloads/past-releases#logstash 选择对应es的版本 解压后我们在bin目录创建文件mysql.conf (名字随便起) 下面是配置增量更新的内容---...
logstash解决增量数据
m0_37642745的博客
05-24 1801
input { stdin { } jdbc { # mysql 数据库链接,test为数据库名 jdbc_connection_string => "jdbc:mysql://127.0.0.1:3306/datacube" # 用户名和密码 jdbc_user => "root" jdbc_pa...
Elasticsearch查询10000条限制解决方案
最新发布
Black794的博客
10-31 4419
如果您的搜索结果超过了 max_result_window 的值,那么 Elasticsearch 将会返回一个错误,提示您使用 scroll API 或者增加 max_result_window 的值来处理这个问题。这意味着,如果您执行一个搜索请求,请求的结果超过了 10000 条记录,那么只会返回前 10000 条记录,并且 Elasticsearch 会在响应中包含一个 hits.total 字段,该字段表示总共匹配了多条记录。search_after查询。
Elasticsearch系列组件:Logstash强大的日志管理和数据分析工具
栗筝i的博客
10-17 4774
Logstash 是一个开源的数据收集引擎,它具有实时管道功能,可以用来统一处理来自不同源的数据,并将其发送到你选择的目标。Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等,可以对数据进行各种转换和处理,然后将数据发送到各种目标,如 Elasticsearch、Kafka、邮件通知等。Logstash 的主要特点包括:多输入源:Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值