Graylog日志查询超过10000限制问题

已于 2023-03-29 08:51:21 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: 日志监控 文章标签: graylog elasticsearch
于 2022-12-24 12:12:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WEDUEST/article/details/128427456
版权

📚概述

在使用graylog时,默认分页查询存在限制,真实使用不能满足,需要我们手动处理。当查询超过执行长度时,会出现一下错误提示

While retrieving data for this widget, the following error(s) occurred:
Unable to perform search query: Elasticsearch exception [type=illegal_argument_exception, reason=Result window is too large, from + size must be less than or equal to: [10000] but was [3382050]. See the scroll api for a more efficient way to request large data sets. This limit can be set by changing the [index.max_result_window] index level setting.].

📙Elasticsearch检索问题

📐Elasticsearch的max_result_window限制

问题描述

查询超过10000页,Elasticsearch出现异常

Elasticsearch exception [type=illegal_argument_exception, reason=Result window is too large, from + size must be less than or equal to: [10000] but was [7135950]. See the scroll api for a more efficient way to request large data sets. This limit can be set by changing the [index.max_result_window] index level setting.].

解决方案

方案一:修改配置文件,重启Elasticsearch服务【Elasticsearch5.x版本以后不支持】

修改Elasticsearch 集群中的 配置文件 config/elasticsearch.yml
在配置文件最后增加一行,如下:

index.max_result_window: 1000000

image.png

📢注意:
日志文件路径:/var/log/elasticsearch/graylog.log

方案二:通过接口修改具体的index

具体操作命令,如下(比如,设置可查询 1000000 条数据,其中 alarmindex名称):
推荐使用全局修改方式。

# 修改个别索引
PUT alarm/_settings
{ 
  "max_result_window" : 1000000
} 
# 修改全局 100W
PUT _settings
{
    "index": {
        "max_result_window": "1000000"
    }
}

CURL方式

curl -H "Content-Type: application/json" -XPUT http://127.0.0.1:9200/_all/_settings -d '{ "index" : { "max_result_window" : 1000000}}'

注意:

  • 上述修改方式,对于新建的索引不会生效。如果需要让新建的索引也生效,必须重新覆盖_template

方案三:修改template【推荐】

curl -H "Content-Type: application/json" -XPUT http://127.0.0.1:9200/_template/graylog-gdmp-mapping -d '{
  "order": 1,
  "index_patterns": [
    "gdmp_*"
  ],
  "settings": {
    "index": {
      "analysis": {
        "analyzer": {
          "analyzer_keyword": {
            "filter": "lowercase",
            "tokenizer": "keyword"
          }
        }
      },
      "max_result_window": 1000000
    }
  },
  "mappings": {
    "_source": {
      "enabled": true
    },
    "dynamic_templates": [
      {
        "internal_fields": {
          "mapping": {
            "type": "keyword"
          },
          "match_mapping_type": "string",
          "match": "gl2_*"
        }
      },
      {
        "store_generic": {
          "mapping": {
            "type": "keyword"
          },
          "match_mapping_type": "string"
        }
      }
    ],
    "properties": {
      "streams": {
        "type": "keyword"
      },
      "message": {
        "fielddata": false,
        "analyzer": "standard",
        "type": "text"
      },
      "timestamp": {
        "format": "uuuu-MM-dd HH:mm:ss.SSS",
        "type": "date"
      }
    }
  }
}'


# 查看索引映射 /索引名/_mapping
GET /gdmp_f08985deb3064a02ab46eeaff55fe001_0/_mapping
# 查看索引配置  /索引名/_settings
GET /gdmp_da7eb85c302f4224b10eeed5314c2cae_1/_settings

📖参考资料

  1. 使用elasticsearch分页时报max_result_window is too large的错误解决方案 | 宝贝云计算知识分享
  2. 京东面试题:ElasticSearch深度分页解决方案_Java_小小怪下士_InfoQ写作社区
  3. https://www.cnblogs.com/rongfengliang/p/16845628.html
  4. https://blog.csdn.net/weixin_44692700/article/details/122160837
背火柴的小男孩
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
elasticsearch 查询大于小于_[日志管理]Graylog进阶 通过Indices自主管理Elasticsearch集群...
weixin_39923137的博客
01-06 597
Graylog的Indices功能主要是用来管理Elasticsearch的shards、replicas、segments,以及Index的轮转规则(按时间、按大小、按行数),保留最大的Index数量。它主要解决两个方面的问题:1、通过在创建的stream中放置判断条件,将日志存储到不同的Index别名中。日志被分配到不同的Index中去了,Index小了,查询自然快了。2、提供更高细粒度的In...
SpringBoot使用Graylog日志收集的实现示例
08-26
【SpringBoot使用Graylog日志收集的实现示例】 在现代软件开发中,日志管理是至关重要的,它有助于监控应用状态、排查错误和优化性能。SpringBoot作为流行的Java微服务框架,通常需要与强大的日志收集系统集成,以...
elasticsearch6.1.3查询只返回部分数据或报错Data too large
冰川的博客
03-13 1394
1、ES导出报错CircuitBreakingException[[FIELDDATA] Data too large, data for [proccessDate] would be larger than limit of [10307921510/9.5gb]] 2、ES导出丢失数据,只返回范围内部分数据,同时未报错
graylog中search页面报错:While retrieving data for this widget, the following error(s) occurred: Elastics
最新发布
LB_bei的博客
12-09 535
问题graylog中search页面报错: While retrieving data for this widget, the following error(s) occurred: Elasticsearch exception [type=index_not_found_exception, reason=no such index []]. 解决办法: System > indices > [index name] > maintenance 然后跳转到searc
GrayLog日志处理】
frank_0807的博客
04-06 1154
一.安装 docker部署 1.mongo docker pull mongo:latest docker run -d --restart=always -p 27017:27017 --name mongo -v /data/db:/data/db -d mongo docker exec -it mongodb /bin/bash 2.elasticsearch docker run --name graylog-elasticsearch -p 9200:9200 -p 9300:9300
Graylog 搜索语法
mirror的专栏
04-26 6491
文档链接http://docs.graylog.org/en/2.4/pages/queries.html 搜索同时包含 worda和 wordb的内容 query:wordaAND wordb 搜索包含worda 或 wordb 的内容 query:worda wordb 搜索包含 “worda wordb” 短语的内容 query:“worda wordb” ...
graylog日志检索系统调研.docx
04-26
在安装完成后,用户可以通过Web界面访问Graylog,进行日志数据输入、查询、过滤、警报设置等操作。Graylog还支持使用GELF(Graylog Extended Log Format)接收来自各种应用的日志,提供REST API以供其他系统集成和...
collector-sidecar:通过Graylog管理日志收集器
05-04
Graylog Sidecar是第三方日志收集器(例如NXLog和filebeat)的管理程序。 Sidecar程序能够从Graylog服务器获取并验证各种日志收集器的配置文件。 您可以将其视为日志收集器的集中式配置和流程管理系统。 master...
Graylog免费和开源的日志管理
08-07
总的来说,Graylog作为一个强大的日志管理系统,不仅提供了日志的集中收集和分析能力,还具备了灵活的查询功能和丰富的集成选项。对于Java开发者来说,它是一个理想的日志处理工具,能够提升开发和运维的效率,同时...
graylog2使用说明(docker)
07-24
- search 日志查询面板 ![](assets/2018-07-10-11-52-07.png) - streams 将日志对象按照filed定义为stream,默认的stream为all messages ![](assets/2018-07-10-11-52-22.png) - alerts 告警相关,选择一个...
如何使用Graylog来收集日志
Docker的专栏
11-25 2706
当我们公司内部部署很多服务以及测试、正式环境的时候,查看日志就变成了一个非常刚需的需求了。是多个环境的日志统一收集,然后使用 Nginx 对外提供服务,还是使用专用的日志收集服务 ELK ...
Result window is too large, from + size must be less than or equal to: [10000] but was
牙刷冰冰的博客
02-05 952
ES其默认返回的数据量是1w条,当from + size > 1w时,就会抛出如下异常 Caused by: org.elasticsearch.ElasticsearchException: Elasticsearch exception [type=illegal_argument_exception, reason=Result window is too large, from + size must be less than or equal to: [10000] but was [518
graylog使用总结这一篇就够了
liuyij3430448的博客
10-31 1万+
graylog使用 graylog报警配置 graylog接springboot graylog使用总结 graylog邮件通知
ElasticsearchException[Elasticsearch exception [type=illegal_argument_exception, reason=Fielddata is
FangWenJuno的博客
02-22 1万+
ElasticsearchStatusException[Elasticsearch exception [type=search_phase_execution_exception, reason=all shards failed] ]; nested: ElasticsearchException[Elasticsearch exception [type=illegal_argument_exception, reason=Fielddata is disabled on text fields .
GrayLog查询语法
这有一片海的博客
11-12 4173
Graylog查询语法接近Lucene语法。默认情况下,如果未指定要搜索的消息字段,则搜索中将包括所有消息字段。
ElasticsearchException[Elasticsearch exception [type=illegal_argument_exception
热门推荐
delicate_pig_liu的博客
07-24 3万+
ElasticsearchException[Elasticsearch exception [type=illegal_argument_exception, reason=Fielddata is disabled on text fields by default. Set fielddata=true on [categoryName] in order to load fielddata...
解决Elasticsearch查询出现Data too large……情况
baidu_16950787的博客
04-18 3万+
Elasticsearch在实际生产环境中提供实时查询,出现Data too large, data for [src_ip] would be larger than limit……     经过一番查找,才发现粗心的同事在启动es的时候忘记设置堆内存(ES_HEAP_SIZE)导致这种情况。es默认启动是指定堆内存为1G,在生产环境肯定是不能满足的。于是./elasticsearch -Xms...
ElasticSearch:从[FIELDDATA]Data too large错误看FieldData配置
雷雨中的双桅船
07-06 2万+
产生Data too large异常 再尝试其他查询也是如此经排查原来是ES默认的缓存设置让缓存区只进不出引起的具体分析一下 ES缓存区概述 FieldData 1 监控FieldData 2 Cache配置 3 FieldData格式 断路器 总结1. 产生Data too large异常今早运行查询时,ES返回了如下报错:{ "error": "... CircuitBreakingE
The following error occurred while installing.This is a fatal error andinstallation will be aborted.
qq2116538183的博客
10-08 2588
The following error occurred while installing.This is a fatal error andinstallation will be aborted. DNF error: Error in POSTTRANS scriptlet in rpm package kmod-kvdol 在安装centos8时遇到这个问题,最后发现是分区的问题,centos8对/boot容量要求较高,最开始设置的200M,所以遇到这个问题,后面...
graylog 安装
10-20
安装Graylog服务的步骤如下: 1. 下载并解压缩Graylog软件包:在官网下载最新版本的Graylog软件包,然后解压缩到指定目录,例如/usr/local/graylog-2.4.4。 2. 创建软链接:进入/usr/local/目录,创建一个指向Graylog软件包的软链接,例如ln -s graylog-2.4.4 graylog。 3. 配置Graylog:编辑Graylog配置文件,例如/etc/graylog/server/server.conf,根据需要修改配置参数,例如监听地址、端口、日志存储路径等。 4. 启动Graylog:运行命令systemctl start graylog-server.service启动Graylog服务。 5. 设置Graylog开机自启:运行命令systemctl enable graylog-server.service将Graylog服务添加到系统服务中,实现开机自启动。 Graylog是一个开源的日志管理平台,可以帮助用户收集、存储、搜索和分析日志数据。相比于ELK(Elasticsearch、Logstash、Kibana)架构,Graylog采用了更加简单的架构,包括Graylog Collector Sidecar、Graylog Server和Graylog Web三个组件。Graylog Collector Sidecar用于收集日志数据,Graylog Server用于存储和处理日志数据,Graylog Web用于展示和查询日志数据。Graylog支持多种数据源,包括Syslog、GELF、Beats、HTTP等,同时还提供了强大的搜索和过滤功能,可以帮助用户快速定位和解决问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值