Tengo un pequeño grupo ELK que está en pruebas. La interfaz web de kibana es extremadamente lenta y arroja muchos errores.

Kafka => 8.2
Logstash => 1.5rc3 (más reciente)
Elasticsearch => 1.4.4 (último)
Kibana => 4.0.2 (más reciente)

Los nodos de Elasticsearch tienen 10 GB de RAM cada uno en Ubuntu 14.04. Extraigo entre 5 GB y 20 GB de datos por día.

Ejecutar incluso una consulta simple, con solo 15 minutos de datos en la interfaz web de kibana, lleva varios minutos y, a menudo, arroja errores.

[FIELDDATA] Data too large, data for [timeStamp] would be larger than limit of [3751437926/3.4gb]]

Estos errores sobre las fallas de fragmentos solo aparecen en kibana. De acuerdo con todos los demás complementos (head, kopf), los fragmentos de búsqueda elástica están perfectamente bien y el grupo es verde.

Verifiqué con el grupo de google, IRC y miré el desbordamiento de la pila. Parece que la única solución es aumentar el carnero. He aumentado el carnero en mis nodos dos veces. Si bien eso parece solucionarlo durante un día o dos, el problema vuelve rápidamente. Otras soluciones, como la limpieza del caché, no tienen mejoras a largo plazo.

curl -XPUT 'http://elastic.example.com:9200/cache/clear?filter=true'
curl -XPOST 'http://elastic.example.com:9200/_cache/clear' -d '{ "fielddata": "true" }'

Según el complemento KOPF, la cantidad de espacio de almacenamiento dinámico se acerca habitualmente al 75% en un clúster completamente inactivo. (Soy el único en la compañía que lo usa). 3 nodos con 10 GB de RAM deberían ser más que suficientes para la cantidad de datos que tengo.

También he intentado ajustar los interruptores comosugerido por este blog.

PUT /_cluster/settings -d '{ "persistent" : { "indices.breaker.fielddata.limit" : "70%" } }'
PUT /_cluster/settings -d '{ "persistent" : {  "indices.fielddata.cache.size" : "60%" } }'

¿Cómo puedo evitar estos errores y corregir la lentitud extrema en kibana?

https://github.com/elastic/kibana/issues/3221
Elasticsearch obtiene demasiados resultados, necesita ayuda para filtrar la consulta
http://elasticsearch-users.115913.n3.nabble.com/Data-too-large-error-td4060962.html

Actualizar

Tengo unos 30 días de índices de logstash. 2x Replicación para que sea 10 fragmentos por día.

Actualización2

Aumenté la memoria RAM de cada nodo a 16 GB (48 GB en total) y también actualicé a 1.5.2.

Esto parece solucionar el problema por un día o dos, sin embargo, el problema vuelve.

Actualización3

Este artículo de blog de un empleado elástico tiene buenos consejos explicando qué puede causar estos problemas.