用ELK导入历史log的正确姿势

最新推荐文章于 2025-06-13 16:30:00 发布
原创 最新推荐文章于 2025-06-13 16:30:00 发布 · 6.3k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch

当大量导入历史log时,Elasticsearch可能会因来不及处理请求而返回429错误。问题源于过多并发请求,即使数据实际被写入,也会导致Logstash重发。解决方案包括减少索引数量、调整bulk request大小和间隔时间。在资源有限的集群中,可考虑合并索引以降低并发压力。

我在以前的博客里面写过一篇文章 Elasticsearch 429,logstash没有更新kafka队列状态的问题。其实这个问题的核心是elasticsearch的响应速度跟不上logstash的写速度,导致logstash上面的response超时。再详细一点,logstash从kafka上取下来的数据,通过bulk request发送到elasticsearch当中,elasticsearch会将这个request放入request队列中,一旦有空闲的thread,会从线程池中获取该线程来出来request。如果request来得太多,太频繁,elasticsearch cluster来不及处理,则会返回429错误。logstash收到429之后,会尝试重发消息,并且不会更新kafka的consumer offset。这里坑逼的地方在于,elasticsearch虽然返回429(rejected execution),但实际上,request会被缓慢的处理,既数据确实被写入了elasticsearch当中,但是却告诉logstash操作被拒绝了。。。

在引言中,我已经再复述了一遍elasticsearch 429(rejected execution)的问题。在ELK用作日志分析系统场景下,这个问题只出现在导入历史数据的情况。当时,我认为是因为request太多造成了elasticsearch无法响应。所以,当时想到的解决方案是尽量的减少并发的request,增加bulk request的size和增加request之间的interval time,但然并卵。因为没有从根本上理解为什么elasticsearch会处理得这么慢,所以当时没有正确的解决这个问题。现在我们仔细复盘以下。

大量导入历史log

基本上,所有能产生log的应用程序和设备,都遵循一定的rotation规则,一般来说,都是按照

最低0.47元/天 解锁文章
深入解析 Python 应用日志监控:ELK、Graylog 的实战指南
windowshht的博客
05-01 523
在现代应用开发中,日志不仅仅是用于记录错误和调试信息,它更是系统运行状况的窗口,帮助开发者和运维人员监控、优化应用性能。而 ELKElasticsearchLogstash、Kibana)和 Graylog 等集中日志管理系统,提供了强大的日志收集、分析和可视化功能,使得 Python 应用的状态监控更加直观、高效。本文将深入剖析如何将 Python 应用与 ELK 和 Graylog 集成,并提供完整的代码示例,帮助你构建高效的日志监控方案。在传统应用日志管理中,我们通常使用。在 Python 中,
log4j2直接推日志到elk
qq_42870188的博客
08-23 801
log4j2直接推日志到elk笔记
搭建ELK日志分析系统详解
weixin_45116475的博客
10-13 768
日志分析是我们运维解决系统故障、发现问题的主要手段。为了可以集中管理多台服务器的日志记录,开源实时日志分析ELK平台应用而生,ELKElasticsearchLogstash和Kibana三个开源工具组成,这三个工具可以分别部署在不同的服务器上,并且相互关联,不过需要收集哪台服务器的日志,就必须在该服务器上部署Logstash。ELK的官网是:https://www.elastic.co/cn...
Filebeat 收集K8S 日志,生产环境实践
dz45693的专栏
03-24 7239
根据生产环境要求,需要采集K8S Pod 日志,和开发协商之后,Pod中应用会将日志输出到容器终端上,这时可以直接用filebeat 采集node节点上面的/var/log/containers/*.log日志,然后将日志输出到kafka消息队列中,经过kafka将日志写入logstash进行格式化,然后由logstash传入elasticsearch存储,然后kibana会连接elasticsearch展示索引数据。 数据传输流程:Pod ->/var/log/containers/*.log..
强大的ELK日志分析系统!
guguai7的博客
08-16 9731
ELK日志分析系统一.ELK日志分析系统简介1.日志服务器的优缺点2.ELK简介3.Logstash管理包含四种工具4.elk工作原理二.Elasticsearch介绍三.Elasticsearch的基础核心概念:1.接近实时(NRT)2.集群(cluster)3.节点(node)4.索引(index)5.类型(type)6.文档(document)7.分片和副本(shards & replicas)四.logstash介绍1.logStash的主要组件:2.LogStash主机分类:五.Kiban
ELK-日志写入数据库
zhao34yan1的博客
08-31 686
ps:写入数据库的目的是用于持久化保存重要数据,比如状态码、客户端IP、客户端浏览器版本等等,用于后期按月做数据统计等。 一 安装数据库 [root@linux-node4 ~]# yum install mariadb mariadb-server [root@linux-node4 ~]# systemctl start mariadb [root@linux-node4 ~]# systemctl enable mariadb [root@linux-node4 ~]# mysql MariaDB [
ELK日志分析平台(L) logstash数据采集
thermal_life的博客
06-11 2714
elk 的第二组件 logstash ,看前请先参考第一篇 es 的实战配置 https://blog.csdn.net/thermal_life/article/details/106646727
日志管理 GrayLog VS ELK
QFann的博客
06-07 2015
日志管理GrayLog
ELK7收集syslog+eventlog日志.docx
03-10
在本文中,我们将详细探讨如何在CentOS 7系统上使用RPM方式安装ELK 7.11,并配置其收集syslog和eventlog日志。 首先,我们从Elasticsearch的安装开始。确保系统已安装Java 8或更高版本,因为Elasticsearch需要Java...
ELK 日志分析系统
最新发布
2501_91112123的博客
06-13 1222
在当今数字化转型加速的时代,企业 IT 系统每天都会产生海量的日志数据,这些数据蕴含着应用运行状态、用户行为、安全事件等关键信息。然而,传统的日志管理方式由于分散存储、检索效率低下、缺乏深度分析能力等问题,已经难以满足企业高效运维与业务洞察的需求。ELKElasticsearch+Logstash+Kibana)作为业界主流的开源日志分析解决方案,通过三大组件的协同工作,构建了从日志采集、清洗、存储到实时分析的完整闭环。
在Windows系统下搭建ELK日志分析平台
热门推荐
tulizi的博客
10-30 2万+
再记录一下elk的搭建,个人觉得挺麻烦的,建议还是在linux系统下搭建,性能会好一些,但我是在windows下搭建的,还是记录一下吧,像我这种记性差的人还是得靠烂笔头 简介: ELKElasticSearchLogstash和Kiabana三个开源工具组成:     Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副
ELK 企业级日志分析系统
m0_74412260的博客
07-11 1271
ELK平台是一套完整的日志集中处理解决方案,将(简称ES)、Logstash和Kiabana三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。(可以通过HTTP协议来发传输一些命令来控制ES执行一些管理操作)
elk实时日志分析平台部署搭建详细实现过程
hfdchhu的博客
11-10 613
elk实时日志分析平台部署搭建详细实现过程
ELK企业级日志分析平台
weixin_56744753的博客
11-20 1808
数据从源传输到存储库的过程中,Logstash 过滤器能够解析各个事件,识别已命名的字段以构建结构,并将它们转换成通用格式,以便更轻松、更快速地分析和实现商业价值。再根据数据量设置一批data节点,这些节点只负责存储数据,后期提供建立索引和查询索引的服务,这样的话如果用户请求比较频繁,这些节点的压力也会比较大。因为真正的主节点,是由多个具有主节点资格的节点进行选举产生的。默认情况下,elasticsearch集群中每个节点都有成为主节点的资格,也都存储数据,还可以提供查询服务。
ELK——日志处理界的瑞士军刀
hy199707的博客
04-11 3992
在大数据时代,日志管理与分析已经成为运维、开发和业务优化中不可或缺的一环。而ELK ,即ElasticsearchLogstash、Kibana三者组成的开源解决方案,以其强大的实时数据分析能力,在业界广受好评,被誉为“日志处理界的瑞士军刀”。
ELK日志集成(filebeat+kafka+logstash+elasticsearch+kibana)
gangye19970101的博客
08-12 1183
1、日志文件准备 首先日志集成json格式,这个在我搭建的项目案例中的logback-spring.xml中有过配置如何将日志转成json格式,具体参考gitee项目的logback-spring.xml配置,也可参考之前写过的一篇文章。 2、安装filebeat 在应用启动的机器上安装filebeat,将日志推送到kafka集群中 ...
ELK日志分析工具实战
shiqiang002的博客
08-16 535
理论 1,什么是日志分析工具,有什么作用 elk日志分析 工具是logstash,elasticsearch,kibana开元软件集合,是对日志管理的方案,对任何来源,任何格式进行日志搜索,分析与可视化展示 2,ELK日志分析解析 2.1,logstash解析 这个组件是对体制进行手机,过滤,格式处理,格式化输出将其存储,供之后搜索。 collect:数据输入 enrich:数据加工, transport:数据输出 shipper:日志收集者,负责监控本地日志文件的变化,以及爸日志文件的最次你内容手机 in
ELK日志平台分析(Elasticsearch安装配置+logstash数据采集+Kibana数据可视化+xpack安全验证)
Aimee_c的博客
06-12 5326
文章目录1.Elasticsearch1.1 Elasticsearch介绍1.2 Elasticsearch的安装与配置1.安装软件并修改配置文件2.修改系统限制3.修改systemd启动文件4.elasticsearch插件安装5.更换npm的yum源(要求虚拟机可上网)6.修改es主机ip和端口7.启动head插件8.修改ES跨域主持9.创建索引1.3 配置Elasticsearch集群1.4 Elasticsearch中的节点角色与优化1.Elasticsearch中的节点角色2.Elasticse
ELK - log服务
chengshang4326的博客
06-11 172
编者注 由于各种问题,导致Unity开发过程当中,日志收集非常困难。搭建一整套日志系统。 ELK ELK Stack是ElasticsearchLogstash、Kibana三个开源项目的缩写。 Elasticsearch是一个搜索和统计引擎。Logstash是一个服务端数据处理管道,同时从...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值