ES内存溢出报错问题解决方案

已于 2024-06-21 15:17:26 修改
阅读量853 收藏 19
点赞数 12
分类专栏: ELK专题 文章标签: elasticsearch 大数据 搜索引擎
于 2024-06-21 15:03:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apollo_miracle/article/details/139834224
版权

博主有话说:该博文根据实际案例编写,在编写过程中将敏感信息进行替换,可能存在矛盾的地方,望见谅

1 错误详情

[type=circuit_breaking_exception, reason=[parent] Data too large, data for [<http_request>] would be [125643918/119.8mb], which is larger than the limit of [90832896/86.6mb], real usage: [125639936/119.8mb], new bytes reserved: [3982/3.8kb], usages [request=0/0b, fielddata=0/0b, in_flight_requests=3982/3.8kb, accounting=15713/15.3kb]] ElasticsearchStatusException[Elasticsearch exception [type=circuit_breaking_exception, reason=[parent] Data too large, data for [<http_request>] would be [125643918/119.8mb],

在这里找到了3个数值

Data too large, data for [] would be [125643918/119.8mb] 这个就是上限内存(缺省是它是ES最大内存的95%)
real usage: [125639936/119.8mb], ES已经使用的内存
new bytes reserved: [3982/3.8kb] 本次查询需要的内存

2 方案一:增加es的内存

2.1 增加es的内存

编辑elasticsearch配置路径下的jvm.options文件,修改总堆空间的初始大小和总堆空间的最大大小,重启es应用即可

可以根据剩余内存大小情况增加es内存

注:初始值和最大值应当被设置为相同的值

2.2 方案分析

该方案简单粗暴,但是要考虑服务器性能。增加es内存的同时,要考虑到对其它应用的影响,不能增加太高,比如增加到2~3G。而且随着时间的推进,es数据量的增加,可能还会出现此问题,无法从根本上解决问题,可以考虑与其他方案双管齐下。

3 方案二:删除es数据

3.1 删除所有文档

构建一个匹配所有文档的查询,并使用DELETE BY QUERY API来删除它们。这样,索引的结构会保留,但其中的所有数据都将被删除。

POST /my_index/_delete_by_query
{
  "query": {
    "match_all": {}
  }
}
curl -uelastic:elastic_pwd -H "Content-Type:application/json" -XPOST http://127.0.0.1:6200/my_index/_delete_by_query -d '{
  "query": {
    "match_all": {}
  }
}'

3.2 创建空索引,删除旧索引

创建一个新的具有相同结构但没有任何数据的空索引,然后根据需要删除旧索引,并将新索引重命名为旧索引的名称。

3.2.1 创建具有相同结构的空索引

创建一个新的索引,可以通过发送PUT请求到新索引,并在请求体中包含映射定义来实现。

PUT /new_index
{
  "mappings": {
    "properties": {
      "field1": { "type": "text" },
      "field2": { "type": "keyword" },
      // ... 其他字段定义,根据从旧索引获取的映射来填充 ...
    }
  }
}
# 创建名为 new-index 的索引
curl -uelastic:elastic_pwd -H "Content-Type:application/json" -XPUT http://127.0.0.1:6200/new_index -d @/data/my-index.txt

以上命令需要知道索引的结构,如果不知道,可以使用以下命令查看旧索引结构

3.2.2 获取旧索引结构

通过发送GET请求到旧索引的_mapping端点来实现: 

GET /old_index/_mapping
curl -uelastic:elastic_pwd -XGET http://127.0.0.1:6200/my_index/_mapping

3.2.3 删除旧索引

使用DELETE请求来删除索引。

DELETE /my_index
curl -uelastic:elastic_pwd -XDELETE http://127.0.0.1:6200/my_index

3.2.4 新索引重命名

为了使应用程序能够无缝地从旧索引切换到新索引,你可以使用Elasticsearch的别名功能。通过为新索引创建一个与旧索引同名的别名,可以让应用程序继续使用相同的索引名称来访问数据,而实际上是在访问新的索引。这样,从应用程序的角度来看,就实现了索引的“重命名”。

POST _aliases
{
  "actions": [
    {
      "add": {
        "index": "new_index",
        "alias": "my_index"
      }
    }
  ]
}
curl -u elastic:elastic_pwd -H "Content-Type:application/json" -XPOST http://127.0.0.1:6200/_aliases  -d '
{
	"actions": [{
		"add": {
			"alias": "my_index",
			"index": "new_index"
		}
	}]
}'

3.3 方案分析

删除所有文档中DELETE BY QUERY操作可能会消耗一定的时间和资源,特别是在大型索引上。确保你的Elasticsearch集群能够处理这个操作,并考虑在低峰时段执行它,且无法恢复数据。

创建空索引删除旧索引,相对来说消耗的时间和资源较少,该案例没有提前设置索引别名,如果设置有索引别名,完全可以不用删除旧索引,方案可能会更好(参考方案五)

删除数据,并不会立即释放存储和内存,需要进行es数据的 segment合并操作,而这个操作特别消耗服务器资源(cpu和内存),数据越大消耗越大,数据大的情况下甚至容易造成进程卡死,数据量越大,做起来风险就越大

4 方案三:保留最近一部分es数据

此方案是在方案二的基础上进行的优化,根据客户要求,可以将es数据进行删除操作,但是最好可以保留最近30-60天的数据

4.1 条件删除文档

构建一个匹配60天前文档的查询,并使用DELETE BY QUERY API来删除它们。这样,索引的结构会保留,并且保留近60天的数据。

POST /my_index/_delete_by_query
{
	"query": {
		"range": {
			"@timestamp": {
				"gte" : "$date_start 00:00:00",
				"lt" : "$date_end 00:00:00",
				"format" : "yyyy-MM-dd HH:mm:ss"
			}
		}
	}
}
curl -uelastic:elastic_pwd -H "Content-Type:application/json" -XPOST http://127.0.0.1:6200/my_index/_delete_by_query -d '{
	"query": {
		"range": {
			"@timestamp": {
				"gte" : "$date_start 00:00:00",
				"lt" : "$date_end 00:00:00",
				"format" : "yyyy-MM-dd HH:mm:ss"
			}
		}
	}
}'

注:$date_start、$date_end为变量,可以自定义删除这两个日期之间的数据

4.2 创建空索引,同步近两个月的数据,删除旧索引

此方案是在方案二(3.2)的基础上添加步骤:新索引同步近两个月的数据

4.2.1 新索引同步近两个月的数据

注:此方法需要借助logstash应用

  • 创建同步数据使用的logstash配置文件,命名为logstash.conf
input {
	elasticsearch {
		hosts => ["127.0.0.1:6200"] 
		index => "my_index" 
		user => "elastic"           
		password => "elastic_pwd"
		size => 500
		scroll => "5m"
		docinfo => true
		query => '{"query":{"range":{"@timestamp":{"gt":"2024-05-01 00:00:00"}}}}'
	}
}

filter {
}

output {
	elasticsearch {
		hosts => ["127.0.0.1:6200"]
		index => "new_index"
		user => "elastic"                
		password => "elastic_pwd"      
	}
}
  • 启动一个logstash 进程,使用logstah.conf 配置(logstash目录按实际情况修改,http.port端口需要写一个未被占用的端口 
/data/logstash-7.6.1/bin/logstash -f ./logstash.conf --path.data=./logstash_trans --http.port=6609

4.3 方案分析

条件删除文档中DELETE BY QUERY操作可能会消耗一定的时间和资源,特别是在大型索引上。确保你的Elasticsearch集群能够处理这个操作,并考虑在低峰时段执行它,且无法恢复数据。

同步数据耗时太长,可能无法实施(经初步估算,测试环境测试同步1.3G数据,耗时40-50分钟,每天数据量大概800M,同步一个月数据耗时太长)

5 方案四:定时删除es数据

5.1 定时删除es数据脚本

脚本文件重命名为del_es_data.sh

#!/bin/bash

# 保留数据的天数
DEL_BEF_DAYS=60
# es服务器ip:端口
ES_HOST='127.0.0.1:6200'


function main
{
    typeset date_end=`date +%Y-%m-%d -d "$DEL_BEF_DAYS days ago"`
    typeset date_start=`date -d "1 days ago $date_end" +%Y-%m-%d`
    echo "date_start: $date_start 00:00:00"
    echo "date_end: $date_end 00:00:00"
        
    curl -u elastic:elastic_pwd -X POST http://$ES_HOST/my_index/_delete_by_query -H "Content-type: application/json" -d '{
        "query": {
            "range": {
                "@timestamp": {
                    "gte" : "$date_start 00:00:00",
                    "lt" : "$date_end 00:00:00",
                    "format" : "yyyy-MM-dd HH:mm:ss"
                }
            }
        }
    }'
    echo "######################## 删除完成 ########################"
}

main "$@"

5.2 设置定时任务

输入以下命令:

crontab -e

在打开的页面输入定时任务(每天凌晨0点0分执行删除es数据脚本): 

0 0 * * * /bin/del_es_data.sh

5.3 方案分析

单纯使用此方案无法解决问题,但可以保证es数据量不再增加,可以考虑与其他方案双管齐下。

6 定稿方案:增加es内存,使用新索引,定时删除es历史数据

通过对以上方案的优劣分析,最终制定定稿方案

6.1 增加es内存

参考2.1

编辑elasticsearch配置路径下的jvm.options文件,修改总堆空间的初始大小和总堆空间的最大大小,重启es应用即可

注:初始值和最大值应当被设置为相同的值

6.2 创建新索引

参考3.2.1

创建一个新的索引,可以通过发送PUT请求到新索引,并在请求体中包含映射定义来实现。

# 创建名为 new-index 的索引
curl -uelastic:elastic_pwd -H "Content-Type:application/json" -XPUT http://127.0.0.1:6200/new_index -d @/data/my-index.txt

以上命令需要知道索引的结构,如果不知道,可以使用以下命令查看旧索引结构(参考3.2.2)

curl -uelastic:elastic_pwd -XGET http://127.0.0.1:6200/my_index/_mapping

查看索引 (确认上面的新索引是否建立成功)

curl -uelastic:elastic_pwd http://127.0.0.1:6200/_cat/indices?v

6.3 删除旧索引别名(如果没有别名可跳过此步骤)

curl -uelastic:elastic_pwd -H "Content-Type:application/json" -XPOST http://127.0.0.1:6200/_aliases -d '
{
	"actions": [{
		"remove": {
			"alias": "my_index",
			"index": "my_index-v1"
		}
	}]
}'

确认别名删除成功,确认返回值中 aliases字段的值为空。

curl -uelastic:elastic_pwd -XGET http://127.0.0.1:6200/my_index

6.4 删除旧索引(如果执行了6.3可跳过此步骤,保留历史数据)

参考3.2.3

使用DELETE请求来删除索引。

curl -uelastic:elastic_pwd -XDELETE http://127.0.0.1:6200/my_index

6.5 创建新索引别名

参考3.2.4

​
curl -u elastic:elastic_pwd -H "Content-Type:application/json" -XPOST http://127.0.0.1:6200/_aliases  -d '
{
	"actions": [{
		"add": {
			"alias": "my_index",
			"index": "new_index"
		}
	}]
}'

确认别名创建成功,确认返回值中 aliases字段的值为my_index。

curl -u elastic:elastic_pwd -XGET http://127.0.0.1:6200/new_index

6.5 关闭旧索引(未删除旧索引时执行该步骤)

curl -u elastic:elastic_pwd -H "Content-Type:application/json" -XPOST http://127.0.0.1:6200/my_index/_close

注释:即使旧索引不再活跃,它仍然会占用磁盘空间和部分内存。这是因为Elasticsearch为了保持索引的可用性和快速检索能力,会保留索引的元数据和部分索引结构在内存中。此外,打开的文件句柄等资源也会被占用,直到索引被显式删除或关闭。

6.6 定时删除es数据

参考5 方案四

6.6.1 编写删除es数据脚本

脚本文件重命名为del_es_data.sh

#!/bin/bash

# 保留数据的天数
DEL_BEF_DAYS=60
# es服务器ip:端口
ES_HOST='127.0.0.1:6200'


function main
{
    typeset date_end=`date +%Y-%m-%d -d "$DEL_BEF_DAYS days ago"`
    typeset date_start=`date -d "1 days ago $date_end" +%Y-%m-%d`
    echo "date_start: $date_start 00:00:00"
    echo "date_end: $date_end 00:00:00"
        
    curl -u elastic:elastic_pwd -X POST http://$ES_HOST/my_index/_delete_by_query -H "Content-type: application/json" -d '{
        "query": {
            "range": {
                "@timestamp": {
                    "gte" : "$date_start 00:00:00",
                    "lt" : "$date_end 00:00:00",
                    "format" : "yyyy-MM-dd HH:mm:ss"
                }
            }
        }
    }'
    echo "######################## 删除完成 ########################"
}

main "$@"

6.6.2 设置定时任务

输入以下命令:

crontab -e

在打开的页面输入定时任务(每天凌晨0点0分执行删除es数据脚本): 

0 0 * * * /bin/del_es_data.sh

6.7 方案分析

操作简单、无风险,只是变更后无法查看历史数据(回退后即可查看历史数据)

注:回退时需要打开旧索引

curl -u elastic:elastic_pwd -H "Content-Type:application/json" -XPOST http://127.0.0.1:6200/my_index/_open
梦因you而美
关注
  • 12
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ElasticsearchES写入满排查思路-内存溢出
九师兄
02-23 4811
1.概述 转载:https://bbs.huaweicloud.com/forum/thread-69707-1-1.html 2.场景 场景1 内存参数配置不合理。 场景2 bulk提交量过大,导致内存被堆满。 场景3 客户端IP,端口配置问题。 场景4 写入时指定DOC ID,导致读IO高。 场景5 bulk队列积压,请求线程被拒绝。 场景6 热分片问题。 场景7 集群不稳定,大量分片迁移和恢复。 场景8 部分实例长时间不断的full gc,导致实例处于假死
Elasticsearch OOM(内存溢出),2024年最新作为字节跳动面试官
最新发布
2401_84248479的博客
04-15 588
ES默认会自动创建文档Id"(如:_id": “AW8922mK8RqpiZJD9zb2”),如果自己生成Id,则每次存储新的文档的时候,ES都会查看整个分片是否已经存在该Id。3)merge过程是串行的,如果同时merge多个,后面的会被阻塞,直到第一个merge完成为止。1)max_num_segments, 设置最大segement数量,数量越小,查询速度提高越明显,但merge耗时越长;题外话,如果贵司银子多,可以集群分片,搞SSD,否则只有结构优化,这一招。
ES内存那点事
热门推荐
很多时候,你缺少的不是知识而是热情
01-13 1万+
“该给ES分配多少内存?”  “JVM参数如何优化?“ “为何我的Heap占用这么高?” “为何经常有某个field的数据量超出内存限制的异常?“ “为何感觉上没多少数据,也会经常Out Of Memory?” 以上问题,显然没有一个统一的数学公式能够给出答案。 和数据库类似,ES对于内存的消耗,和很多因素相关,诸如数据总量、mapping设置、查询方式、查询频度等等。默认的设置虽开
es内存溢出启动报错java.lang.OutOfMemoryError: Java heap space
被我探险家的博客
02-02 2898
es内存溢出启动报错java.lang.OutOfMemoryError: Java heap space: Unable to create data/java_pid6.hprof: File exists Terminating due to java.lang.OutOfMemoryError: Java heap space
Elasticsearch批量更新索引导致内存溢出问题
chuan4874的博客
08-18 1535
一、问题现象 线上ES集群批量更新索引出现内存溢出,jvm一直full GC,old区内存爆满。ES服务无法使用 二、相关操作 4台ES机器,进行一次3000万数据的导入,导入数据成功,但是随后old区内存突然升高到100% 三、问题原因 dump内存之后进行分析,内存中大量发现索引数据,搜索...
Elasticsearch深度分页导致内存溢出
qq_35939417的博客
04-08 1470
scroll(滚屏) 第一次请求 GET /call_chain_detail/_doc/_search?scroll=5m { "query": { "match_all": {} }, "size": 10 } 响应 #! Deprecation: [types removal] Specifying types in search requests is deprecated. { "_scroll_id" : "DnF1ZXJ5VGhlbkZldGNoAwAAAAAAAC8
内存溢出攻击
FrankDura的博客
06-03 862
综述 计算机组成上的实验内容 最近考试太多了,所以没时间详细讲解。暂时先留坑。 过程 计算机组成实验 反汇编——内存溢出攻击 [说明] 首先要说明的是小段模式:也即 比如要输入 01 02 03 04 你的16进制输入应该为04 03 02 01 查看touch1的地址
 栈pop的时候去的是上面这两个 一个是取到r7中 一个取到pc中 未特别处理前: 66...
elasticsearch 报错问题汇总
01-20
在 CentOS7 上安装 Elasticsearch 时,常见的问题解决方案如下: 1. **内存分配失败**: 报错信息:Java HotSpot(TM) 64-Bit Server VM warning: INFO: os::commit_memory(0x0000000085330000, 2060255232, 0) ...
Logstash6整合Hadoop-报错解决方案.docx
10-26
Logstash是 Elastic Stack 中的数据处理引擎,可以从多种数据源中提取数据,并对其进行处理和转换,然后将其输出到多种目标中,例如 Elasticsearch、Kafka、Hadoop 等。在大数据处理中,Logstash 和 Hadoop 是经常...
Elasticsearch使用常见问题解决方案
01-08
一、和redis一起使用会造成netty启动冲突问题,所以需要在***Application入口文件中添加方法: @PostConstruct public void init() { // see Netty4Utils.setAvailableProcessors() System.setProperty(es.set....
解决Docker启动Elasticsearch7.x报错问题
01-08
使用Docker run 命令 docker run -d -p 9200:9200 -p 9300:9300 –name 用户自定义名字 容器ID 会看到一串字符串,一般情况下我们会误以为它启动成功 我们执行docker ps -a是发现它自动退出了 ...
docker启动elasticsearch时内存不足问题及解决方法
01-09
docker安装并启动elasticsearch时内存不足 系统centos8(阿里云ecs服务器) [root@iZ2zeczvvb79boy368xppwZ ~]# cat /etc/redhat-release CentOS Linux release 8.1.1911 (Core) 安装过程 docker pull elastic...
ElasticSearch 查询时内存溢出导致Eurake客户端不停重启
Mr_rain的专栏
09-22 2531
一天晚上,生产环境升级,升级的主要内容是将用户服务折分出去,并用户数据从mongo中复制到ES中助力查询。在测试环境和预发环境都测试通过, 然后在生产环境, 一次后台查询导致整个系统崩溃。后来查找到原来是很早以前的一段代码,将所有用户都查询出来然后进行分析,导致用户服务直接挂掉,ES不能正常服务(对外服务断断续续),所有服务连接ES都是断断续续的,导致使用ES的服务(Eurake客户端)不停的
java解决es索引字段上限,关于生成elasticsearch索引数据时内存溢出的故障
weixin_28677451的博客
03-11 1521
一、问题描述在java应用中按批次生成elasticsearch中的索引数据的同时,首先在mysql中查询大量数据转成对象存放在list列表,然后把list中的大批量数据通过bulk的方式写入索引,最终导致java内存泄露。通过top命令惊奇的发现CPU突然从60%-90%-160%-飙到200%.。。。当发现此问题时,只是简单的设置了JVM的内存参数 -Xms:1024m,-Xmx:3074m再...
操作堆外内存溢出
kevin_Luan的专栏
04-05 3163
DirectMemory容量可通过-XX:MaxDirectMemorySize指定,如果不指定,则默认与JAVA堆的最大值(-Xmx指定)一样。 以下代码越过了DirectByteBuffer类,直接通过反射获取Unsafe实例并进行内存分配(Unsafe类的getUnsafe()方法限制类只有引导类加载器才会返回实例,也就是设计者希望只有rt.jar中的类才能使用Unsafe的功能)。因为,
内存溢出和内存泄露
qq_29929995的博客
08-09 232
内存溢出 out of memory,是指程序在申请内存时,没有足够的内存空间供其使用,出现out of memory; 内存泄露 memory leak,是指程序在申请内存后,无法释放已申请的内存空间,一次内存泄露危害可以忽略,但内存泄露堆积后果很严重,无论多少内存,迟早会被占光。 以发生的方式来分类,内存泄漏可以分为4类: 1. 常发性内存泄漏。发生内存泄漏的代码会被多次执行到,每次...
es7.6.2 failed to retrieve password hash for reserved user [elastic]
qq_25934401的博客
09-01 9177
报错信息 [2020-09-01T15:59:41,129][ERROR][o.e.x.s.a.e.ReservedRealm] [node-3] failed to retrieve password hash for reserved user [elastic] org.elasticsearch.action.UnavailableShardsException: at least one primary shard for the index [.security-7] is unavailabl
elasticsearch 内存溢出
yixiaoqi2010的专栏
12-22 6996
ES在做聚合的时候,容易发生内存溢出https://www.elastic.co/guide/cn/elasticsearch/guide/current/_limiting_memory_usage.html
ElasticSearch启动报错问题
05-24
ElasticSearch启动报错可能有很多原因,以下是一些常见的解决方法: 1. 检查Java环境是否配置正确:ElasticSearch需要Java环境的支持,请检查Java版本是否符合ElasticSearch的要求,并确保JAVA_HOME环境变量已经配置正确。 2. 检查配置文件是否正确:ElasticSearch的配置文件通常位于config目录下,检查配置文件是否正确,特别是集群名称、节点名称、监听地址和端口等参数是否正确。 3. 检查日志文件:ElasticSearch启动时会生成日志文件,可以根据日志文件中的错误提示找到具体的问题所在。 4. 检查端口是否被占用:ElasticSearch启动时会监听一些端口,如果这些端口已经被其他程序占用,就会导致启动失败。可以使用netstat命令查看端口占用情况。 5. 检查磁盘空间是否充足:ElasticSearch需要一定的磁盘空间用于存储索引和数据,如果磁盘空间不足,就会导致启动失败。 以上是一些常见的问题和解决方法,希望能对你有所帮助。如果问题没有解决,请提供更具体的错误信息,我会尽力帮助你解决问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值