Если на диске недостаточно дискового пространства, Elasticsearch переводит все свои индексы в режим read-only. В результате индексы доступны только для чтения, данные не индексируются.

Чтобы устранить неисправность:

1.Увеличьте свободное дисковое пространство.

2.Откройте сайт Kibana и в консоли Dev Tools выполните запрос:

PUT _settings
{
 "index": {
   "blocks": {
     "read_only_allow_delete": "false"
   }
 }
}

По умолчанию для индексов Elasticsearch установлено ограничение в 2000 полей. Если сообщение занимает больше полей, то оно не попадает в индекс и в лог-файлах контейнера Logstash появляется сообщение вида «Limit of total fields [1000] has been exceeded while adding new fields [1]».

Чтобы устранить неисправность, увеличьте лимит полей в индексе. Порядок действий описан на примере индекса rx-log-metrics-2024.01:

1.На странице Kibana в меню Management выберите раздел Dev Tools:

2.На открывшейся странице в консоли выполните команду для увеличения количества полей в индексе rx-log-metrics-2024.01:

PUT rx-log-metrics-2024.01/_settings
{
 "index.mapping.total_fields.limit": "2000"
}

В результате появится сообщение, что изменения применены: «"acknowledged" : true».

3.Чтобы проверить, что все настроено верно, в меню Management выберите раздел Stack Management. На открывшейся странице в меню Data выберите раздел Index Management и в списке нажмите на индекс rx-log-metrics-2024.01. В открывшемся окне перейдите на вкладку «Settings» и проверьте значение параметра total_fields – в нем должен быть указан новый лимит.

Чтобы изменить лимит для новых индексов:

1.На странице Kibana в меню Management выберите раздел Stack Management.

2.На открывшейся странице в меню Data выберите раздел Index Management, перейдите на вкладку «Index Templates» и нажмите на кнопку для редактирования шаблона, например rx-log:

3.В открывшемся редакторе перейдите в Index Settings и добавьте параметр mapping.total_fields.limit, указав в нем новый лимит:

4.Перейдите в Review template и нажмите на кнопку Save template.

В результате для новых индексов, которые начинаются на «rx-log-*», устанавливается заданный лимит.

Если индексы Elasticsearch хранятся на виртуальной машине вместе с сервисами решения, то пространство на виртуальном диске уменьшается. Могут возникнуть ошибки:

•при попытке разметить свободное дисковое пространство:

Unable to satisfy all constraints on the partition

•при просмотре разделов выбранного диска с помощью команды fdisk –l /dev/sda:

gpt pmbr size mismatch ...

Чтобы устранить неисправность:

1.Запустите проверку диска на наличие ошибок с помощью команды:

sudo parted –l

2.Подтвердите восстановление поврежденных данных и выполните команду:

fix

3.Разметьте свободное место дисковой утилитой, например, mkfs или fdisk.

Перестает работать сервис Elasticsearch, в лог-файле /var/log/elasticsearch/elasticsearch.log фиксируется ошибка:

[<Дата и время>][ERROR][o.e.b.ElasticsearchUncaughtExceptionHandler] [xOlhTAI] fatal error in thread [elasticsearch[xOlhTAI][refresh][T#4]], exiting

java.lang.OutOfMemoryError: Java heap space

Чтобы устранить неисправность, увеличьте выделяемый объем оперативной памяти. Для этого в конфигураторе Directum Launcher в секции Мониторинг (MonitoringService) измените значение параметра es_java_memory_GB.

Если брандмауэр блокирует соединение с Logstash, в лог-файле /var/log/elasticsearch/logstash фиксируется ошибка:

Failed to publish events caused by: write tcp ... write: connection reset by peer

Чтобы устранить неисправность в конфигурационном файле filebeat.yml в секции output.logstash добавьте параметры с указанными значениями:

•ttl: 60s – разрешенное время соединения, установленное ниже максимально разрешенного в брандмауэре;

•pipelining: 0 – отключение конвейерной обработки.

Пример настройки:

output.logstash:

  hosts: ["192.168.0.1:5044"]
  enabled: true
  ttl: 60s
  pipelining: 0

Расследование инцидентов