TL;DR — Kurzzusammenfassung
Konfigurieren Sie Elasticsearch für eine robuste zentralisierte Log-Analyse, beheben Sie Node-Fehler und optimieren Sie das Index Life Cycle Management.
Zentralisierte Logs mit Elasticsearch
Elasticsearch löst das Problem verteilter Logs, indem es diese zentralisiert sammelt, indiziert und ultraschnelle Suchen ermöglicht.
Schritt-für-Schritt Installation
1. Installieren (Ubuntu/Debian)
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list
sudo apt update && sudo apt install elasticsearch -y2. JVM-Speicher Konfigurieren
Bearbeiten Sie /etc/elasticsearch/jvm.options.d/heap.options:
-Xms4g
-Xmx4g3. Cluster Konfigurieren
Bearbeiten Sie /etc/elasticsearch/elasticsearch.yml:
cluster.name: prod-logs-cluster
node.name: es-node-01
network.host: 192.168.1.50
http.port: 9200
xpack.security.enabled: true
xpack.security.http.ssl.enabled: true4. Dienst Starten
sudo systemctl enable elasticsearch
sudo systemctl start elasticsearchDatenverwaltung (ILM)
Erstellen Sie eine ILM-Richtlinie, um zu verhindern, dass die Festplatten voll werden:
PUT _ilm/policy/logs_policy
{
"policy": {
"phases": {
"hot": {
"actions": {
"rollover": { "max_size": "50GB", "max_age": "30d" }
}
},
"delete": {
"min_age": "90d",
"actions": { "delete": {} }
}
}
}
}Fehlerbehebung im Cluster
Festplattenplatz-Ausnahme (High Watermark)
Lösung: Geben Sie Platz frei und entsperren Sie die Indizes manuell:
PUT _all/_settings
{
"index.blocks.read_only_allow_delete": null
}