elasticsearch那几个坑

最新推荐文章于 2024-06-05 00:30:00 发布
最新推荐文章于 2024-06-05 00:30:00 发布
阅读量4.6k 收藏 1
点赞数 1
分类专栏: elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joomlaer/article/details/50417794
版权

公司有若干的nginx日志,打算用elastic search实现对实践间隔nginx请求量的统计,实现对各种常用指标的检索。

大坑1:

有三台同配置的es,但总有一台异常退出。经过对该服务器的内存使用情况进行分析,发现,是有进程占用内存,导致es的内存OOM。

大坑2:

es需要用logstash读取nginx日志进行解析,但如何书写规则,特别是自定义的nginx日志规则。

建议用如下网站进行日志的匹配规则编写。

http://grokdebug.herokuapp.com/

我根据我们日志编写了如下规则,可以参考。

input {
	
filter {
	grok {
            match =>{"message" =>"\"%{IP:remote_addr}\" \"%{IPORHOST:upstream_addr}:%{POSINT:port}\" \"\[%{HTTPDATE:time_local}\]\" \
"%{BASE16FLOAT:request_time}\" \"%{BASE16FLOAT:upstream_response_time}\" \"%{INT:status}\" \"%{WORD:sent_http_ufactrl_response_code}\
" \"%{INT:request_length}\" \"%{INT:bytes_sent}\" \"%{NOTSPACE:sent_http_ufactrl_subapp_code}\" \"%{WORD:verb} %{URIPATHPARAM:request
} HTTP/%{NUMBER:httpversion}\" \"%{DATA:http_user_agent}\""}

	}
	#mutate {
	#	split  => { "message" => "\"  " }
	#}
	date {
		match => [ "time_local" , "dd/MMM/yyyy:HH:mm:ss Z" , "yyyy-MMM-dd HH:mm:ss" ]
	}
	geoip {
		source => "remote_addr"
	}

	kv {
		source => "request"
			field_split => "&?"
			value_split => "="
	}
	urldecode {
		all_fields => true
	}
}

output {
	elasticsearch {
		hosts => '10.0.3.99'
			index =>"%{type}-nginx-%{+YYYY.MM.dd}"
			document_type => "nginx"
#		document_type => "%{type}"
			template_overwrite => true
	}
#	stdout {
#		codec => rubydebug
#	}
}

大坑3:

如果直接用logstash进行日志收集,那节点服务器的内存会占用很多。所以,我们使用n个logstash foward 汇集日志到logsgtash节点。当然,kafka更好。

es里如下配置:

lumberjack {
# The port to listen on
		port => 13810

# The paths to your ssl cert and key
			ssl_certificate => "/home/ke/logstash-2.1.0/bin/lumberjack.crt"
			ssl_key => "/home/ke/logstash-2.1.0/bin/lumberjack.key"

# Set this to whatever you want.
			type => "somelogs"
	}
}

大坑4.kabian的大坑。

每次都下意识想把日志时间字段转化为timestap.其实不用这样。直接拿来日期,用kabian直接显示即可。

黑肚皮的窝
关注
专栏目录
Elasticsearch 中使用MustNot等同于不等于遇到的
weixin_38225763的博客
01-27 688
1、在写关键词推荐时,需要把当前文章过滤掉,不能再推荐自己的文章,所以再es中需要用到MustNot属性查询/// 服务中心es检索if (!if (!});但是查询时报400转义后的查询参数对象如下:"query": {"bool": {"term": {],
ElasticSearch记1:_uid字段排序(fielddata特性),导致内存占用,不断GC,最后OOM
sunlen的专栏(编程技术探讨)
12-21 1743
在某一天,我们的系统突然异常,大面积出现白屏,搜索页面点击后,响应非常慢,大量出现响应超过4秒的情况,异常高峰期平均查询时间达到10多秒,后台不断有ES服务宕机重启,GC告警频繁,经过一阵排查折腾,发现居然是简单的_uid字段排序导致的,下面就详细的讲一下。 我们的ES搜索收到一个小小的需求,原来我们的搜索,新的结果会被放到后面去,产品经理希望能够对搜索结果进行排序,按照创建时间倒序排序。 这里自然的相对用ES系统字段_uid进行倒序排序,因为这个字段是按照创建时间生成的...
Elasticsearch: 这些你踩了吗?
locahuang的博客
03-18 2889
一、引言 本文罗列多数人使用Elasticsearch时可能会遇到的一些点,供大家参考、讨论、补充。 二、1:ES是准实时的? 为了验证这个是否是真,大家可以自己手动测试一下: 当更到数据到ES并且返回提示成功这一瞬间,立马通过ES查询,查看返回的数据是不是最新的。 思考:若查询到的数据是最新的,这个不算,可以填土了;而如果不是最新的数据,那么背后的原因是什么? 如果你还没有做验证,不要紧,我们一起来看下ES数据索引的整个过程,也许你从中也会找到蛛丝马迹。 || 数据索引整个过程 数据
ElasticSearch的使用
蜂蜜蘸鱿鱼脚的博客
08-22 1222
ElasticSearch的使用
ElasticSearch7.1 集群配置
leonlong的博客
06-16 362
ElasticSearch7.1 集群配置
ElasticSearchElasticSearch千万级TPS写入性能翻倍技术剖析、长尾效应
最新发布
九师兄
06-05 126
这次写入性能优化,滴滴ES团队取得了突破性进展。写入性能提升后,我们用更少的SSD机器支撑了数据写入,支撑了数据冷热分离和大规格存储物理机的落地,在这过程中,我们下线了超过400台物理机,节省了每年千万左右的服务器成本。在整个优化过程中,我们深入分析ES写入各个环节的耗时情况,去探寻每个耗时环节的优化点,对ES写入细节有了更加深刻的认识。我们还在持续探寻更多的优化方式。而且我们的优化不仅在写入性能上。在查询的性能和稳定性,集群的元数据变更性能等等方面也都在不断探索。
elasticsearch的安装与测试
txyllyyj的博客
11-23 2674
一、安装elasticsearch 1.到官网下载安装包https://www.elastic.co/,这里下载的是7.4版本 2.创建一个安装目录 mkdir /usr/local/es 3.将elasticsearch-7.4.0-linux-x86_64.tar.gz解压到/usr/local/es 目录下 tar -zxvf elasticsearch-7.4.0-linux-x86_64.tar.gz -C /usr/local/es 4.因为安全问题,ElasticSear.
双GLSurfaceView同时显示Preview时遇到的几个
04-26
然而,这并不是一个直接简单的任务,因为涉及到多个SurfaceView之间的同步、纹理渲染以及OpenGL ES的优化等问题。本文将深入探讨在实现双GLSurfaceView同时显示Preview时可能会遇到的,并提供相应的解决方案。 1....
Elasticsearch 6.3.2 版本踩填指南
happyJared
08-29 6032
前言   前端时间利用ES开发一个”附近地理位置+其它信息”查询搜索的功能(据了解,Redis和PostgreSQL也能实现同样的功能),实践中遇到了不少的问题,所以通过这篇文章记录下踩填过程。 es with docker   个人喜好,一般使用中间件都喜欢用Docker运行较新版本的,用docker pull elasticsearch命令拉下来的版本一般不会是最新的,所以可以从这...
spring-data使用elasticsearch的那些
u012536120的博客
01-18 3414
【背景】 springboot2,里面已经有JPA的DAO层了,现在又想加个ES,好实现分词检索和相关性推荐 【】 1,之前想写2个DAO,一个ESDAO,一个普通DAO,然后公用一个pojo,不行,老是冲突。所以我写了2个pojo。 解决:esrepository写法跟jparepository一毛一样。然后dao层放一个xxDAO,一个xxESDAO,pojo层放一个xx,一个...
Elasticsearch之Template详解_elasticsearchtemplate,作为一个软件测试程序员
2401_84265519的博客
04-17 1940
上面我们讲了Index Template,主要是在创建索引的时候,来根据template的统配规则,确定当前创建的索引是否符合,从而将template里面的配置信息应用在我们新创建的索引中,通常应用于要生成相同配置的索引场景下,比如日志数据管理、统一索引管理等。主要是应用于具体的索引中去的,定义在某个索引的mapping设置中,会根据我们设定的数据类型,匹配一些设定的规则,来动态设定字段类型。这个模板的,但是由于我们在创建索引的时候指定了分片和副本的信息,所以以我们指定的为准。“middle”:“大”,
Elasticsearch本地安装与简单配置
爱死亡机器人
10-30 1649
文章目录1.部署架构2. 安装java3. elasticsearch下载4. elasticsearch目录结构如下5. JVM配置6. elasticsearch部署7. elasticsearch安装插件8. elasticsearch部署多个实例9. kibana下载部署10. kibana安装插件 1.部署架构 2. 安装java 安装java $ vim /etc/profile JAVA_HOME=/usr/lib/java/jdk1.8.0_151 PATH=$JAVA_HOME/bin:
ELK详解(二十四)——geoip画访问地域热图
永远是少年
04-11 3073
今天继续给大家介绍Linux运维相关知识,本文主要内容是Logstash配置geoip,使用Kibana画访问热点地图。 一、Logstash安装geoip插件 二、Logstash配置 三、Kibana绘图展示
监控ElasticSearch性能指标
点火三周的专栏
10-09 1万+
这篇文章是关于Elasticsearch性能指标的4部分系列的第1部分。在这篇文章中,我们将介绍Elasticsearch如何工作,并探索您应该监控的关键指标。第2部分解释了如何收集Elasticsearch的性能指标,第3部分将介绍如何使用Datadog来监视Elasticsearch,第4部分将讨论如何解决五个常见的Elasticsearch问题。 什么是Elasticsearch
Elasticsearch索引迁移的四种方式
热门推荐
铭毅天下Elasticsearch
03-23 7万+
本文主要讲解Elasticsearch下实现索引迁移的几种方式。 0、引言 将ES中的索引拷贝到其他ES中,或者将ES整体迁移,研究发现有两个开源的工具:elaticserch-dump和 Elasticsearch-Exporter。 除此之外,logstash在索引同步、迁移方面的作用也很大。 两工具及logstash实现迁移的介绍、安装、使用、验证效果等展示如下: 1、el...
lasticsearch 入门:Filebeat 安装及输出数据到 elasticsearch 或 logstash
01-17 1万+
系统: centos 5.6  i386 官方参考: Getting Started With Filebeat 部署 Filebeat # tar zxvf filebeat-5.0.0-linux-x86.tar.gz # mv filebeat-5.0.0-linux-x86 /usr/local/elasticsearch/files/filebeat # cd /usr/lo
ElasticSearch按日生成index的两种方法
mvpboss1004的博客
06-18 1万+
我们经常会遇到这样的需求,即日志只保留一定天数,过期的删除。当然如果你存储无限大,请忽略此文。 注:以下会用到Date math。1. 使用Delete By Query API不靠谱Delete By Query API可以搜索文档并删除。使用这种方法,就是所有日志都在一个index里,然后搜索过期的日志并删除。例如:POST twitter/_delete_by_query { "qu
elasticsearch的查询器(query)和过滤器(filter)的比较
libinbinrefine163的博客
08-16 415
类似lucene, elasticsearch的查询有两部分组成:query and filter 。 参考:https://www.elastic.co/guide/en/elasticsearch/guide/current/_queries_and_filters.html Query查询器 与 Filter 过滤器尽管我们之前已经涉及了查询DSL,然而实际上存在两种DSL:查询DSL(q
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值