elasticsearch log日志占满磁盘的问题总结

最新推荐文章于 2023-10-17 08:00:00 发布
最新推荐文章于 2023-10-17 08:00:00 发布
阅读量3.4k 收藏 5
点赞数
分类专栏: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16504067/article/details/119132849
版权

今天在工作过程中遇到了一个问题,elasticsearch创建索引失败,我首先检查一下磁盘,发现磁盘爆满了

df -h /data

然后具体的查看是哪个文件占用过多

du -h /data

 发现是es-data目录,再继续发现

cd /data/es-data
du -h

发现是logs目录占用最多,这个logs目录是配置给es的日志的,具体的配置为:

elasticsearch.yml文件中的path.logs参数

这个参数配置的是日志的存放目录。而log4j2.properties 用于配置elasticsearch的日志。

所以我们需要修改log4j2.properties中的相关配置,配置日志的自动清理策略

Log4j2

Elasticsearch使用Log4j2进行日志记录。可以使用 log4j2.properties 文件配置log4j2。Elasticsearch公开三个属性 ${sys:es.logs.base_path} ,${sys:es.logs.cluster_name} 以及 ${sys:es.logs.node_name} (如果明确设置node.name),可以在配置文件中引用,以确定日志文件的位置。

  • ${sys:es.logs.base_path} 将解析为日志目录;
  • ${sys:es.logs.cluster_name} 将解析为群集名称(默认配置中,用作日志文件名的前缀);
  • ${sys:es.logs.node_name} 将解析为节点名称(如果节点名称已显式设置)。

例如,如果您的日志目录(path.logs)是 /var/log/elasticsearch ,您的群集被命名 production;

那么 ${sys:es.logs.base_path} 将解析到 /var/log/elasticsearch ;

${sys:es.logs.base_path}${sys:file.separator}${sys:es.logs.cluster_name}.log 将被解析到 /var/log/elasticsearch/production.log 。

  1. 采用RollingFile类型的Appender

  2. 把日志写到/var/log/elasticsearch/production.log

  3. 归档后的日志文件的文件名格式,其中"%d{yyyy-MM-dd-HH}"用来自动填充日期

  4. 基于时间进行日志的切割

  5. 切割的间隔为1小时, 即每小时进行一次日志的归档

  6. 修正时间范围, 从0时开始计数,日志轮换是以天作为分界(而不是相隔24小时)

 Log4j的配置解析会被无关的空格干扰; 如果您在此页面上复制并粘贴任何Log4j设置,或者输入任何的Log4j配置,请确保去掉前导和尾随空格。

如果在 appender.rolling.filePattern 中追加.gz或者.zip后缀,那么当日志轮换的时候,旧的日志将会被压缩处理。

如果要在特定时间段内保留日志文件,则可以使用带有删除操作的滚动策略。

 

1、配置 DefaultRolloverStrategy

2、配置 delete action处理回滚

3、删除哪个目录下的日志归档文件

4、回滚处理时适用的条件

5、保留日志七天

6、只删除超过7天的文件,如果它们与指定的glob匹配

7、从基路径删除和glob  ${sys:es.logs.cluster_name}-* 匹配的文件,这是日志文件滚动到的glob;只会删除滚动的Elasticsearch日志,而不会删除弃用和缓慢的日志。感觉有点不通,把原文贴出来。

    
Delete files from the base path matching the glob ${sys:es.logs.cluster_name}-*; this is the glob that log files are rolled to; this is needed to only delete the rolled Elasticsearch logs but not also delete the deprecation and slow logs

可以加载多个配置文件(在这种情况下,它们将会被合并),只要它们被命名 log4j2.properties 并存放在Elasticsearch config目录下(只要它的祖先是此目录就行); 这对于插件记录日志很有用。

 logger  部分包含java包及其对应的日志级别。 appender 部分包含日志的储存位置。在Log4j documentation中可以找到有关如何自定义日志记录和 appender 的相关信息。

弃用日志

除了常规日志记录功能之外,Elasticsearch还允许您启用对已弃用的日志记录。例如,如果将来需要迁移某些功能,则可以提前确定。默认情况下,在WARN级别(在此级别,所有弃用日志消息都会被输出)启用弃用日志记录。

logger.deprecation.level = warn

这将在您的日志目录中创建每日滚动弃用日志文件。定期检查这个文件,特别是当你打算升级到一个新的主要版本。

默认日志记录配置已将弃用日志的滚动策略设置为1 GB后滚动和压缩,并保留最多五个日志文件(4个轮换日志,一个在用的日志)。通过在 config/log4j2.properties 文件中将弃用日志级别设置为error,就可以禁用它。

ES配置文件之日志-log4j2.properties

https://blog.csdn.net/qingmou_csdn/article/details/105917497

Elasticsearch配置详解

https://blog.csdn.net/mythest/article/details/88560972

Elasticsearch 日志配置详解

https://www.cnblogs.com/cocowool/p/elasticsearch-log-config.html

qq_duhai
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ELK( ElasticSearchLogstash和Kiabana)
07-20
通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。开源实时日志分析ELK平台能够完美的解决日志收集和日志检索、分析的问题,ELK就是指ElasticSearchLogstash和Kiabana三个开源工具。 因为ELK是可以跨平台部署,因此非常适用于多平台部署的应用。 二 环境准备 1. 安装JDK1.8环境 2. 下载ELK软件包 logstash: https://artifacts.elastic.co/downloads/logstash/logstash-5.5.0.zip elasticsearch:https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.5.0.zip kibana: https://artifacts.elastic.co/downloads/kibana/kibana-5.5.0-windows-x86.zip 分别解压下载的软件,elasticsearchlogstash,kibana 可以放在一个统一文件夹下 三 部署 1.配置logstash 在logstash文件夹的下bin目录创建配置文件logstash.conf ,内容如下: input { # 以文件作为来源 file { # 日志文件路径 path => "F:\test\dp.log" } } filter { #定义数据的格式,正则解析日志(根据实际需要对日志日志过滤、收集) grok { match => { "message" => "%{IPV4:clientIP}|%{GREEDYDATA:request}|%{NUMBER:duration}"} } #根据需要对数据的类型转换 mutate { convert => { "duration" => "integer" }} } # 定义输出 output { elasticsearch { hosts => ["localhost:9200"] #Elasticsearch 默认端口 } }   在bin目录下创建run.bat,写入一下脚本: logstash.bat -f logstash.conf 执行run.bat启动logstash。 2. 配置Elasticsearch elasticsearch.bat即可启动。 启动后浏览器访问 127.0.0.1:9200 ,出现以下的json表示成功。 3.配置kibana Kibana启动时从文件kibana.yml读取属性。默认设置配置Kibana运行localhost:5601。要更改主机或端口号,或者连接到在其他机器上运行的Elasticsearch,需要更新kibana.yml文件。 kibana.bat启动Kibana。
es docker 日志文件在哪_Docker 日志文件太大导致磁盘
weixin_39966225的博客
02-01 768
目标清理空间解决办法查找大文件的位置df -lh du -s /var/* |sort -nr 删除大的 log 文件sudo find /var/lib/docker/containers -name *.logcat /dev/null > /var/lib/docker/containers/374aa0ba92b37d829012282ff15c1bb838d95dedb5458...
Elasticsearch磁盘空间爆及 java_pid*.hprof 处理
一个标题
02-28 3109
Elasticsearch磁盘空间爆及 java_pid*.hprof 处理
Elasticsearch日志文件说明
sojen的博客
12-07 1323
Elasticsearch集群的日志文件说明。Elasticsearch_access.log访问日志记录了访问Elasticsearch集群的信息。Elasticsearch集群的访问日志包含所有查询请求的详细信息,例如uri、请求体的大小以及请求启动的时间。只能在Elasticsearch控制台中查看Elasticsearch V6.7.0和V7.10集群的访问日志
ES(Elasticsearch)日志类型
wangxuelei036的博客
06-03 1万+
每个软件应用为了方便排查运行时出现的问题或者一些做一些数据记录,都会提供相应的日志记录,Elasticsearch也不例外,Elasticsearch日志记录通过3类日志类型进行记录: (1)主要日志(cluster-name.log):记录了Elasticsearch运行时所发生一切的综合信息,例如,某个查询失败或一个新的节点加入集群 (2)慢搜索日志(cluster-name_index_search_slowlog.log):当某个查询运行得很慢时,Elasticsearch会在这里进行记录。默认
elasticsearch磁盘空间了故障处理思路
热门推荐
蘑菇丁的专栏
03-24 2万+
昨天接到客户投诉说ES数据目录已达到100%了,当时第一想法监控组怎么监控的80%报警为什么没有监控出啦,经问,监测组是几天前接到报警,并忽略了,我当时那个崩溃,并有想骂人的冲动,这是现网,不是测试时环境,竟然有这么不负责的同事我也是醉的,我登录服务器一看磁盘空间最糟的100%,另几个99%,刚搭建两个月的集群出现空间不足,当时说没有这么大的数据量,我自己给自己挖了一个大坑,把数据存在一个磁盘上。
elastic设置日志保存时间_es日志配置,只保存最近3天的日志
weixin_39611863的博客
12-22 2498
Elasticsearch使用Log4j 2进行日志记录。可以使用log4j2.properties文件配置Log4j2。Elasticsearch公开三个属性${sys:es.logs.base_path},${sys:es.logs.cluster_name}${sys:es.logs.node_name}可以在配置文件中被引用,以确定日志文件的位置。该属性${sys:es.logs.base...
基于logstash实现日志文件同步elasticsearch
01-19
将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES中。 2、源文件: [root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:02 logmachine.sh -rw-r--r-- 1 root root 66 Jul 5 08:...
.log文件,log日志文件供下载开发测试
08-20
《深入理解.log日志文件及其在开发测试中的应用》 .log文件是计算机系统中常见的日志文件格式,广泛应用于各种软件、服务器和操作系统中,用于记录系统运行过程中的事件、错误、警告和其他相关信息。在本篇文章中,...
日志框架commons-logging和Log4j应用
06-09
还可以结合ELK(Elasticsearch, Logstash, Kibana)或Graylog等工具对日志进行集中管理和分析。 了解和熟练使用这两个日志框架对于Java开发者来说至关重要,它们不仅可以帮助提高代码的可维护性,还能在出现问题时...
log_日志文件_
09-28
- **Logstash**:ELK(ElasticsearchLogstash、Kibana)堆栈的一部分,用于日志收集、处理和转发。 - **Splunk**:商业日志分析工具,提供强大的搜索和可视化功能。 8. **日志安全性** - **日志加密**:确保...
ygm-log.zip_Linux日志
09-22
工具如`tail -f`可以实时查看日志动态,而`Logstash`和`Elasticsearch`等ELK(Elasticsearch, Logstash, Kibana)堆栈则提供图形化界面,方便分析和可视化日志数据。 8. **安全与合规**: 根据法规要求,某些组织...
Elasticsearch + Logstash + Kibana 日志分析系统搭建
BXA
05-31 2027
ElasticsearchLogstash 和 Kibana 组成了一个开源的日志分析系统简称 ELK Stack。Elasticsearch: 一个基于 Lucene 的搜索引擎,可以快速存储、检索和分析大量数据Logstash: 一个日志收集和处理工具,可以将来自不同来源的数据收集到 Elasticsearch 中Kibana: 一个数据可视化平台,可以实时地展示 Elasticsearch 存储的数据。
ELK日志分析--ES(Elasticsearch)--(一)
qq_47800859的博客
02-23 2517
ES基本介绍 单机ES部署 ES(Elasticsearch)集群部署
ElasticSearch设置日志保存时间-自动删除
yiyiatgis的专栏
11-17 9909
ElasticSearch提供索引生命周期管理(6.6版本开始),参考地址: https://www.elastic.co/guide/en/elasticsearch/reference/6.6/_setting_up_a_new_policy.html 以auditbeat审计日志的管理为例来介绍elasticsearch的生命周期管理策略: ElasticSearch索引生命周期管理 实际场景中我们一般为索引创建一个模板,以auditbeat-7.9.2为例: GET _template/a
elasticsearch定期删除策略 - 日志分析系统ELK搭建
bsegebr的博客
08-16 1589
max file descriptors,root用户下修改配置文件vim /etc/security/limits.conf,将soft nofile和hard nofile的值全部改为65536,保存推出,重新登录。ES进程死亡,如果是logstash indexer写入的机器ES进程死亡,会导致数据无法存入ES,但不清楚redis中的数据能否被正常消耗。集群配置完毕后,集群间的数据是共享的。可以在同一台机器上的不同节点配置集群,也可以在不同机器上配置集群,测试中采用的是后一种方式。...
Elasticsearch系列组件:Logstash强大的日志管理和数据分析工具
最新发布
栗筝i的博客
10-17 2899
Logstash 是一个开源的数据收集引擎,它具有实时管道功能,可以用来统一处理来自不同源的数据,并将其发送到你选择的目标。Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等,可以对数据进行各种转换和处理,然后将数据发送到各种目标,如 Elasticsearch、Kafka、邮件通知等。Logstash 的主要特点包括:多输入源:Logstash 支持多种类型的输入数据,包括日志文件、系统消息队列、数据库等。
【ELK+Filebeat】Windows搭建ELK+Filebeat并在SpringBoot项目中使用
sakuraqwqqqqq的博客
05-25 618
elk+filebeat+springboot
elastic磁盘空间磁盘直接删除索引会影响程序么
06-06
如果您的Elasticsearch磁盘空间已,您可以通过删除不需要的索引来释放磁盘空间。但是,在删除索引之前,请确保已经备份了该索引中的数据,并且您的程序不再需要这些数据。 当您从Elasticsearch中删除索引时,它会从磁盘上删除所有与该索引相关的文件。如果您的程序需要访问已删除的索引中的数据,则它们将无法再访问该数据,这可能会导致程序失败或产生错误。如果您的程序不需要访问已删除的索引中的数据,则删除索引不会对程序产生任何影响。 因此,如果您确定不再需要删除的索引中的数据,并且您的程序不再需要访问该数据,则可以安全地删除索引以释放磁盘空间。如果您的程序需要访问已删除的索引中的数据,则需要考虑其他解决方案来释放磁盘空间,例如添加更多的磁盘或调整索引的分片和副本设置等。 总之,请在删除索引之前谨慎考虑,并确保已经备份了该索引中的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值