說本來可以正常運作
但改完ip後
就收不到資料了
連進去看之後先df看了一下 發現HD的使用率很高
然後ES的log出現以下的訊息
[INFO ][cluster.routing.allocation.decider] [Milan] low disk watermark [15%] exceeded on [DZqnmWIZRpapZY_TPkkMBw][Milan] free: 58.6gb[12.6%], replicas will not be assigned to this node
徴求user同意後先把一個indices砍了
curl -u admin:password -XDELETE http://10.1.2.3:9200/graylog_0
HD使用率就下降了一半
再來在管理介面上 rotate active write index
rotate active write index
可是下完後在管理介面上index就跑不出來了
去看了graylog的log出現以下訊息
elasticsearch.exceptions.AuthorizationException: AuthorizationException(403, 'cluster_block_exception', 'blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];')
只好再下指令 unlock
curl -XPUT -H "Content-Type: application/json" http://localhost:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'
再關掉index
curl -u admin:password -XPOST 'http://10.1.2.3:9200/graylog_4/_close'
在管理介面上就可以看到index了
可是這個時候在search的介面出問題而不能search
因為下完之前的指令出現了二個open的index
以下是列出所有index的指令
curl -u admin:password 'http://10.1.2.3:9200/_cat/indices/graylog*?v'
所以關掉一個後就正常了
curl -u admin:password -XPOST 'http://10.1.2.3:9200/graylog_5/_close'
到此在log裡就沒有看到任何error
可是訊息還是沒看到而且process buffer一直在100%
用top去看 java也吃掉了大量的cpu
我在猜是不是extractor的問題
因為還要去處理別的問題
所以就先斷線了
後記
之後user有再連絡說log已經有進來了
可能是之前塞住的message消化完了
所以就再觀察看看
沒有留言:
張貼留言