elasticsearch - 当所有分片约为 30GB 时，如何对 Elastic“大分片大小”警报进行故障排除？

背景：我有一个简单的（2 节点）弹性云部署，有 3 个主要索引，用于保存我的大部分数据以进行索引和搜索。这些索引中最大的是 ~250GB（我们称之为example-index），采用 4/1 分片方案产生 8 个分片。如果索引分片超过推荐的 50GB 大小，我设置了一个简单的监控警报来触发。

问题：在我的集群监控中，我看到了一个large shard size警报。警报设置为每 12 小时通知一次，但每分钟检查一次。它还声称被识别为太大的分片约为 133GB，并且来自example-index. 实际的警报是这样的：

The following index: example-index has a large shard size of: 132.99GB at April 15, 2021 11:51 AM EDT

故障排除完成：使用开发工具，我手动cat对索引分片运行查询，并确认每个分片都徘徊在 30GB 左右。查询中列出的任何分片都没有example-index返回高于 31GB 的分片——完全在合理的容差范围内。

问题：粗略，标题。我该如何解决这种类型的警报？我没有看到或发现此警报是否有任何潜在的潜在原因？或者这只是一个错误？

标签： elasticsearchkibanaelastic-stackobservability