Verschillen

Dit geeft de verschillen weer tussen de geselecteerde revisie en de huidige revisie van de pagina.

--- werkinstructies:herstart_filebeat_vanaf_eerdere_dag [2017/02/10 10:49]
abel [Elasticsearch cleanup]
+++ werkinstructies:herstart_filebeat_vanaf_eerdere_dag [2017/02/10 12:06] (huidige)
abel [Elasticsearch cleanup]
@@ Regel 1: / Regel 1: @@
-====== Filebeat Data overdracht herstarten ======
+====== Filebeat Data overdracht herstarten vanaf een eerder moment ======
 Er zijn situaties waar een misconfiguratie in logstash, het per ongeluk uitstaan van logstash of een corruptie in de elasticsearch data het nodig maken om log data, vanaf een bepaalde dag, opnieuw naar de ELK server te krijgen.
 ===== Voorbereiding =====
@@ Regel 17: / Regel 15: @@
 Als er een parsefout is opgetreden of als er partial data is moeten de betreffende indices verwijderd worden in Elasticsearch.
-log in op de Elasticsearch node en  vindt de index , list all indices:\\
+log in op de Elasticsearch node en  vindt de index , list all indices: ''%%curl 'localhost:9200/_cat/indices?v' | grep filebeat%%''
-''%%curl 'localhost:9200/_cat/indices?v%%''
-verwijder de index door:\\
+verwijder de index door: ''%%curl -XDELETE 'localhost:9200/filebeat-index-naam'%%''
-''%%curl -XDELETE 'localhost:9200/indexnaam'%%''
 ===== filebeat cliënt datum reset =====
@@ Regel 46: / Regel 42: @@
 set":2624898,"FileStateOS":{"inode":5376528,"device":64771}},"/opt/think/log/TA/node01/jboss/localhost_access_log.2016-12-23.log":{"source":"/opt/think/log/TA/node01/jboss/localhost_access_log.2016-12-23.log"
 ,"offset":3028418,"FileStateOS":{"inode":5376492,"device":64771}}}
+</code>
+Maar de basis opmaak is dus:
+<code>
+{   "/var/log/localhost_access_log.2016-10-14.log":
+       {"source":"/var/log/localhost_access_log.2016-10-14.log","offset":2750260,"FileStateOS":
+          {"inode":3410337,"device":64771}}
+    ,
+    "/var/log/localhost_access_log.2016-10-15.log":
+       {"source":"/var/log/localhost_access_log.2016-10-15.log","offset":2960699,"FileStateOS":
+          {"inode":3410511,"device":64771}}
+    ,
+    "/var/log/localhost_access_log.2017-02-10.log":
+       {"source":"/var/log/localhost_access_log.2017-02-10.log","offset":308034,"FileStateOS":
+          {"inode":3410407,"device":64771}}
+}
 </code>
+Dus de laatste accolade laten staan en de voorgaande comma ook verwijderen.
+Vervolgens is het belangrijk om te checken in de file ''/etc/filebeat/filebeat.yml'' of de waarden voor
+'' ignore_older: 51h'' en ''close_older: 50h'' wijd genoeg staan om de files opnieuw in te lezen. Overigens moet ignore_older groter zijn dan close_older.
+===== afronden =====
+Start logstash op de ELK server: ''service logstash start''
+en start filebeat op de betreffende clients: ''service filebeat start''

Gebruikershulpmiddelen

Site-hulpmiddelen

Verschillen

Paginahulpmiddelen