关于 ELK 环境中 logstash 报【Could not index event to Elasticsearch. {:status=>400...】问题处理记录

最新推荐文章于 2024-03-07 18:46:44 发布
最新推荐文章于 2024-03-07 18:46:44 发布
阅读量2.2k 收藏 1
点赞数
文章标签: elasticsearch elk 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42993847/article/details/127053406
版权

背景

最近公司决定将后台输出日志分类存储到es 同时做前台查询展示功能;三类日志JSON数据结构相同;技术选型理所当然的选了elk 因为公司已有其他项目再用,并且环境已搭建好(but 没有开发环境,只能自己在windows 上安装 win 版elk 还算顺利)。
数据流向:
filebeat=》logstash=》elastic

问题出现

当环境装好,接通电源跑其系统,日志开始输出;但是奇怪的现象出现了,es接受到的数据总是丢失某一类数据。

查找思路

  • 首先查看收集器 filebeat 是否收集到全量日志
    配置filebeat.yml 中 output 开启 console 模式输出;并跟踪日志输出,发现日志输出完整。

  • 其次查看logstash输出,这时候 配置 logstash.conf 将日志输出到file 发现日志输出也是完整的(不可思议)

  • 一度怀疑es 有问题,一番折腾发现并不是。

  • 又仔细根据数据路径找了一遍,发现logstash 的console 后台有个400字样具体是 “Could not index event to Elasticsearch. {:status=>400…”最后一句讲有个key的值type不对无法插入;这时候翻过代码仔细一看原来是同构的json类型中,有个key 插入数据类型不一致后,有一类插入了 jsonarray,其他两类则转了字符串插入造成该问题。

问题总结

es 同一个index 中,某个key 会在第一条记录文档存入时默认设定类型;后续再插入记录,类型必须保持一致;这是一个很基础的bug,与君共勉。。。。

小德_binary
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[WARN ][logstash.outputs.elasticsearch] Could not index event to Elasticsearch. {:status=400
weixin_44972135的博客
09-14 4587
elk错信息显示如下内容: [WARN ][logstash.outputs.elasticsearch] Could not index event to Elasticsearch. {:status=>400, :action=>["index", {:_id=>nil, :_index=>"182-api-access.log-2020.09.14", :_type=>"_doc", :routing=>nil}, #<LogStash::Event:
ekl组件_logstash-6.8.6.tar.gz
03-17
elk组件下载,统一版本号6.8.6,linux版本,jdk要求1.8,logstash-6.8.6.tar.gz,kibana-6.8.6-linux-x86_64.tar.gz,elasticsearch-6.8.6.tar.gz,elk stack。
问题: Could not index event to Elasticsearch. {:status=400, :action=[“index“, {:_id=nil, :_index=
Operational_0624的博客
03-07 443
elasticsearch7版本以上的,默认只允许1000个分片,因为集群分片数不足引起的。#elc(es用户):password(#es密码)下面命令给他扩容到10000 问题就解决了。解决:(永久性解决)
ES错this action would add [2] total shards, but this cluster currently has [5000]/[5000] maximum sha
习惯了想你的博客
06-17 7122
文章目录 版本es742,在使用logstash写索引的时候,突然发现logstash日志在错信息 [2020-06-17T12:01:18,241][WARN ][logstash.outputs.elasticsearch] Could not index event to Elasticsearch. {:status=>400, :action=>["index", {:_id=>nil, :_index=>"bizlog-wxxcx-2020.06.17", :_t
集群写入_es 7.2 生产集群 index 无数据写入故障定位
loveLifeLoveCoding的博客
07-10 462
Logstash错: Could not index event to Elasticsearch_懵懂无知的蜗牛的博客-CSDN博客集群写入_es 7.2 生产集群 index 无数据写入故障定位_镝不咸的博客-CSDN博客查看 logstsh 日志错提示如下Could not index event to Elasticsearch. {:status=>400, :action=>["index", {:_id=>nil, :_index=>"apps_wms-2020.07.16", :rout
Could not index event to Elasticsearch. {:status=>400, :action=>["index", {:
weixin_45744265的博客
03-09 5422
用eslogstash给es导入mysql的数据时,要注意日期格式的类型。
Logstash错: Could not index event to Elasticsearch
IChen.的博客
04-12 965
elasticsearch7版本及以上的,默认只允许1000个分片,因为集群分片数不足引起的。在kibana -> 开发者工具 -> Console页签下执行如DSL下语句。在kibana -> 开发者工具 -> Console页签下执行如DSL下语句。4.1 临时解决方案(重启ES将失效)4.2 永久解决方案。
关于Logstash引入数据库数据到ElasticsearchCould not index event to Elasticsearch问题
China_HaoZi的博客
09-05 1225
elasticsearch 踩坑记录
qq_29384639的博客
10-14 628
问题1:Linux下磁盘爆满,df -h 可以发现,默认目录下磁盘使用已经达到100%,但是15T的磁盘数据并未被充分利用,原因是elasticsearch安装后使用了默认路径,通过以下命令查询/var/lib这个路径就在100%那个空间 解决1:迁移es存储空间和日志空间 ①修改/etc/elasticsearch/elasticsearch.yml文件 修改数据文件存储位置: 默认位置: path.data: /var/lib/elasticsearch 修改为: ...
kafka 参数说明
u011500419的专栏
05-11 1112
auto.commit.interval.ms=5000 auto.offset.reset=latest bootstrap.servers=[testserver7:9092,testserver5:9092,testserver4:9092] check.crcs=true client.id= connections.max.idle.ms=540000 ...
最新ELK集群 => KafKa消息队列.pdf
08-23
接着上一次的2021最新版7.x => filebeat+logstash+ES集群+kibana实战.pd 初学者的进阶
ELK学习笔记.docx elasticsearch logstash kibana 环境搭建开发
02-03
ELK学习笔记.docx elasticsearch logstash kibana 环境搭建开发
elasticsearch.rpm-kibanarpm-logstash.rpm.docx
05-05
就是这几个文件,elasticsearch-6.2.4.rpm + kibana-6.2.4-x86_64.rpm + logstash-6.2.4.rpm,你没有看错。 也许你还能得到更多有用的难以下载的东西。 不要看着资源大小只有几KB就觉得有问题,放心是真的。
elasticsearch7.8.0.zip
07-28
windows下安装elk所需要的文件,包含elasticsearch7.8.0,logstash7.8.0,elasticsearch-head,nodejs,jdk11
ELK镜像:elasticsearch:7.17.6+kibana:7.17.6+logstash:7.17.6 下载
最新发布
05-15
ELK:elasticsearch:7.17.6+kibana:7.17.6+logstash:7.17.6 支持操作系统:centos7 标麒麟、银河麒麟、通信UOS 均已经验证 安装方式,docker安装
elasticsearch-6.2.2+kibana-6.2.2-windows+logstash-6.2.2.zip
06-11
elasticsearch-6.2.2+kibana-6.2.2-windows+logstash-6.2.2.zip,三剑客,版本一致,统一上传上来方便大家使用!
logstash elasticsearch output插件的bulk提交
很多时候,你缺少的不是知识而是热情
11-02 7668
logstash的output设置为elasticsearch时,实际上logstash在向es插入数据时也是bulk提交的。参数:flush_size 表示多少条flush一起提交到es.参数:idle_flush_time 表示距离上次flush的时间之后多少秒自动flush提交一次这两个参数一起用的意思就是: 累计缓冲event条数达到flush_size值会flush一次 距离上次
建立配置logstash配置文件: cd /usr/local/logstash/config vim elk.conf 写入如内容: input { file { path => "/var/log/messages" type => "system" start_position => "beginning" } file { path => "/var/log/secure" type => "secure" start_position => "beginning" } }
05-31
好的,你的问题是如何建立...这样就成功建立了一个Logstash的配置文件,它会从/var/log/messages和/var/log/secure这两个文件获取数据,并将数据以type为system和secure的形式输入到Elasticsearch等日志分析工具

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值