ELK使用过程中遇到的问题

  1. 没有权限管理:
    1. 所有人登陆上去可以看到所有数据
  2. 页面不可定制:
    1. 同样因为没有用户的概念,导致无法定制个人的页面:比如Discover页面刚进来,默认的index,默认的fields,默认的时间范围,默认的刷新间隔
  3. Discover页面选择index时,没有分组的概念,全列在一起,导致下拉菜单会很长
  4. Visualize/Dashboard页面没有一个可以生成图表的接口,只能手工做,导致
    1. 同样的图,对 pre 和 online 两个index,得画两遍
    2. 同样的图,测试环境加好了,预发线和正是线也得重画两遍
    3. 同样的Dashboard,对不同的客户,每个客户都要画一遍
    4. V/D可以导出json文件作为数据备份和恢复,但是不能作为初始化
  5. Grok解析字段只能对新进入的数据有作用,历史数据变动不了,除非re-index
    1. 解析日志是在ES之前的logstash中做的,所有一旦解析完毕,存储于ES中的数据格式就确定了
  6. Grok解析不方便,解析规则很麻烦,需要大量debug时间
  7. Logstash解析日期后,会转成 UTC ,继而到ES中也是 UTC,导致手动query ES数据时需要转一下日期
  8. Logstash实现理论上会因为磁盘坏道导致数据缺失
  9. Dashborad/Visualize 里过滤出来的数据,无法直接跳转到 Discover 页面去查看
    1. 比如Visualize里看到某个响应时间特别长,就想知道对应哪个请求,就没办法直接列出符合该过滤条件的数据
    2. 目前的做法是:去到Discover页面,选择相同的时间范围,用相同的过滤条件去搜索一下,就出来结果了。
  10. ES无法跨行分析,没有办法根据某个字段,aggregate一下
  11. filebeat拖数据无法清空点位
  12. 数据去重缺乏有效手段(比如uuid)
  13. logstash 写 ES 缺乏有效限速手段
  14. 监控报警的邮件定制化,监控定制化

PS:
有些问题 elastic 公司已经考虑到,并在 X-Pack中实现了,只是 x-pack是收费的。

你可能感兴趣的:(ELK)