日志丢失找回
面试题: 下午4点filebeat崩溃,4-5的数据未收集到ES集群。ES集群只有下午5点以后的数据和4点之前的数据。
请问如何找回4-5点数据,请说出思路即可。
找到filebeat 日志记录的 时间对应的数据偏移量 offset 使用python恢复
[root@elk101 aaa]# ll /var/lib/filebeat/registry/filebeat/
总用量 12
-rw------- 1 root root 6934 10月 6 16:00 log.json
-rw------- 1 root root 15 10月 6 15:37 meta.json
[root@elk101 aaa]# cat /var/lib/filebeat/registry/filebeat/log.json
{"op":"set","id":1}
{"k":"filebeat::logs::","v":{"type":"","FileStateOS":{"device":0,"inode":0},"identifier_name":"","offset":10,"prev_id":"","source":"","timestamp":[2062183911815,1728200690],"ttl":0,"id":""}}