При настройке сбора логов обнаружилось, что Elasticsearch перестал создавать индексы под логи. Сама схема сбора Filebeat -> Logstash -> Elasticsearch
Ошибка была следующего вида:
[2021-03-23T18:03:43,081][WARN ][logstash.outputs.elasticsearch][main][e10c66dfb2e74fd1db2e243865b224f6ca135c8f45f5c9e8d744daaad909a48f] Could not index event to Elasticsearch. {:status=>404, :action=>["index", {:_id=>nil, :_index=>"logstash-%{[fields][logapp]}-2021.03.23", :routing=>nil, :_type=>"_doc"}, #], :response=>{"index"=>{"_index"=>"logstash-%{[fields][logapp]}-2021.03.23", "_type"=>"_doc", "_id"=>nil, "status"=>404, "error"=>{"type"=>"index_not_found_exception", "reason"=>"no such index [logstash-%{[fields][logapp]}-2021.03.23]", "resource.type"=>"index_expression", "resource.id"=>"logstash-%{[fields][logapp]}-2021.03.23", "index_uuid"=>"_na_", "index"=>"logstash-%{[fields][logapp]}-2021.03.23"}}}}
Первое, что нагуглил было включить параметр “action.auto_create_index”: “true” в конфиге Elasticsearch, но увы не помогло. Оказалось, требуется быть чуть хитрее и установить параметр через curl-запрос
curl -X PUT "localhost:9200/_cluster/settings?pretty" -H 'Content-Type: application/json' -d'{
"persistent": {
"action.auto_create_index": "true"
}
}'
Be First to Comment