背景

完整的报错内容如下：

filebeat failed to publish events 413 request entity too large

遇到此种报错将会导致es中没有数据

解决方法

找到filebeat的主配置filebeat.yml，在output中加入 bulk_max_size: 20，这个值默认是50，我们要改小一点，改成10或者20都行，由于yaml这种格式极易出错引起不适，我把相关的部分摘录如下：

filebeat:
  prospectors:
      max_bytes: 900000
...
output:
  elasticsearch:
    bulk_max_size: 20
    bulk_max_bytes: 10485760