实时/离线日志同步问题排查总结

一、经过多次的实际排查实时/历史日志数据缺失问题，感觉很有必要总结一下排查的步骤，以便快速的入手。

二、常见问题

• 数据缺失；
• 数据总量匹配但是部分内容不匹配；

三、解决办法

• 外部因素
• 内部因素

【注意】：我这里的建议办法是先由内部到外部的排查；

四、内部排查
0.先确认出现问题的日志格式是否与我们日常的匹配解析规则（可能是正则表达式）是否一致，不一致的话直接询问数据源方正确的解析格式或者重新根据日志格式解析；
1.通过Kibana查询ES中数据，搜索关键词即可 “TEST”,下面就会展示相关的日志记录；由于这里的ES中存储数据时长有限，所以当时间长度大于这里的数据存储最大时间时，则此方法不行。
例如： ES中存储近15天的数据，但是我想查找上个月的数据（时间跨度30 > 15），则当查询的时间大于存储的时长时则不可用，如下图就是部分时间没有数据；

2.当我们在Kibana中解决不了问题时，则去对比离线的存储备份数据，当日同步的数据（T+1模式，当日同步则是昨天的日志数据）在/xxxx目录的每个topic名字下面