版本: 7.7-7.15
简要来说,当发送到 Elasticsearch 的事件查询语言(EQL)语句超过最大允许大小时,就会发生此错误。这可能是由于查询过于复杂或冗长导致的。要解决此问题,您可以通过减少条件数量或将查询拆分为多个较小的查询来简化 EQL 语句。另外,您也可以在 Elasticsearch 配置中增加 EQL 语句的最大允许大小,但请注意这可能会影响性能。
日志上下文 #
日志 “EQL statement is too large;” 的类名是 EqlParser.java。我们从 Elasticsearch 源代码中提取了以下内容,供那些寻求深入了解背景的人参考:
log.info("Parse tree {} " + tree.toStringTree());
} return visitor.apply(new AstBuilder(params), tree);
} catch (StackOverflowError e) {
throw new ParsingException("EQL statement is too large; " +
"causing stack overflow when generating the parsing tree: [{}]", eql);
}
} private static void debug(EqlBaseParser parser) {
