ELK/EFK中ES使用IK分词器的方式步骤
1. 安装ES同时安装IK 提前下载好IK分词器(版本和ES保持 一致): https://github.com/medcl/elasticsearch-analysis-ik/releases/download/v6.8.0/elasticsearch-analysis-ik-6.8.0.zip 下载后,在plugins下面创建文件夹IK,把ZIP解压到IK里面 使用DOCKER启动ES: es: container_name: es image: docker.elastic.co/elasticsearch/elasticsearch:6.8.0 privileged: true ports: - "9200:9200" volumes: - ./efk/es/data:/usr/share/elasticsearch/data - ./efk/es...
kibana查询统计
统计关键词数量 : GET /docker-wecom-crm-api-2023.09/_search?q=message:"不存在外部联系人的关系" { "size": 0, "query": { "match_all": { } } }
解决es报错:blocked by: [FORBIDDEN/12/index read-only / allow delete (api) ]
Elasticsearch中的 "blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];" 错误通常表示你的索引处于只读状态,不允许读取操作,但允许删除操作。这可能是由于一些情况导致的,比如磁盘空间已满、集群健康状况等。 这个错误可能有多个原因,下面是一些可能的解决方法: 磁盘空间已满: Elasticsearch在索引数据的时候需要足够的磁盘空间来存储数据和元数据。如果磁盘空间已满,索引可能会被设置为只读状态。你需要释放磁盘空间,让Elasticsearch可以继续写入数据。 分片不均衡: 如果你的集群中的...
es+filebeat+elastalert2实现异常邮件提醒
以下安装都使用docker-compose,docker及K8s安装原理一样 ES安装: es: container_name: es image: docker.elastic.co/elasticsearch/elasticsearch:7.2.0 ports: - "9200:9200" environment: - node.name=es - http.host=0.0.0.0 - transport.host=127.0.0.1 - "ES_JAVA_OPTS=-Xms512m -Xmx512m" - bootstrap.memory_lock=true - discovery.type=single-node - xpack.security.enabled=true - xpack.security.http.ssl.enab...