理解ELK日志分析系统中的索引和分片

最新推荐文章于 2023-07-11 15:05:49 发布
最新推荐文章于 2023-07-11 15:05:49 发布
阅读量3.3k 收藏 3
点赞数
分类专栏: Linux企业实战篇 文章标签: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nk298120/article/details/116586552
版权

目录

前言

最近学习ELK日志分析系统遇到了一个困扰:elastic创建的索引和分片该怎样理解?之前一直将分片理解为数据的备份,例如集群中的数据存储节点上可能会存在分片,这是不是就意味着数据在该节点上备份了一份?那么主分片和辅助分片又该如何理解?

索引概念

  • 关系数据库中,索引是一种单独的、物理的对数据库表中一列或多列的值进行排序的一种存储结构,它是某个表中一列或若干列值的集合和相应的指向表中物理标识这些值的数据页的逻辑指针清单。索引的作用相当于图书的目录,可以根据目录中的页码快速找到所需的内容。
  • 索引提供指向存储在表的指定列中的数据值的指针,然后根据您指定的排序顺序对这些指针排序。数据库使用索引以找到特定值,然后顺指针找到包含该值的行。这样可以使对应于表的SQL语句执行得更快,可快速访问数据库表中的特定信息。
  • 索引是一种数据结构,它允许对它存储在其中的单词进行快速随机访问。当需要从大量文本中快速检索文本目标时,必须首先将文本内容转换成能够进行快速搜索的格式,以建立针对文本的索引数据结构,此即为索引过程。

搜索过程

  • 获取内容(Acquire Content)
    由用户输入原始内容(Raw Content),然后由索引组件去获取内容(Acquire Content),是通过网络爬虫或其它方式来搜集需要索引的内容。获取到的内容需要剪切为小数据块,即文档(Document)
  • 建立文档(Build Document)
    通过Acquire Centent获取的原始内容需要转换为专用部件(文档)才能供搜索引擎使用。
    一般来说,一个网页、一个PDF文档、一封邮件或者一条日志信息都可以作为一个文档。文档由带“值(Value)”的"域(Field)"组成,例如标题(Title)、正文(body)、摘要(abstract)、作者(Author)和链接(url)等。不过,二进制格式的文档处理起来要麻烦一些,例如PDF文档。对于建立文档的过程来说有一个常见操作:向单个的文档和域中插入加权值,以便在搜索结果中对其进行排序。权值可在索引操作前静态生产,也可在搜索期间才动态生成。权值决定了其搜索相关度。
  • 文档索引(Idenx Document)
    在索引步骤中,文档将被加入到索引列表。

ES(elastic)工作过程

  • 为了将数据添加到ES,我们需要索引(index),索引是一个存储关联数据的地方。实际上,索引只是一个用来指定一个或多个分片的"逻辑命名空间"
  • 一个分片(shard)是一个最小级别"工作单元",它只是保存了索引中的所有数据的一部分,我们的文档存储在分片中,并且在分片中被索引,但是我们的应用程序不会直接与它们通信,取而代之的是,直接与索引通信。
  • 分片是ES在进群中分发数据的关键,可以把分片想想成数据的容器。文档存储在分片中,然后分片分配到集群中的节点上。当集群扩容或缩小,ES将会自动在节点间迁移分片,以使集群保持平衡。
  • 分片可以是主分片或者是复制分片,索引中的每个文档属于一个单独的主分片,所以主分片的数量决定了索引最多能存储多少数据。
  • 理论上主分片能存储的数据大小是没有限制的,限制取决于你实际的使用情况:硬件存储的大小,文档的大小和复杂度、如何索引和查询你的文档,以及你期望的响应时间
  • 复制分片只是主分片的一个副本,它可以防止硬件故障导致的数据丢失,同时可以提供请求,比如搜索或者从别的shard取回文档。
  • 当索引创建完成的时候,主分片的数量就固定了,但是复制分片的数量可以随时调整

可以这么理解:一份完整的数据可以分为许多个文档进行存储,每个文档可能存储不同的信息。文档存储在分片中,因此分片存储了我们索引中所有数据的一部分内容,也就是索引组件采集到的信息,因此一个完整的信息存在多个分片,这若干个分片分布式存储在了集群中不同的数据节点上,并且每个分片可以分为主分片和辅助分片,在这里,辅助分片相当于其对应主分片的副本,内容完全一致。

概括图

在这里插入图片描述

分片复制

  • 复制默认的值是sync(刷盘)。这将导致主分片得到复制分片的成功响应后才返回。
    • Linux sync命令用于数据同步,sync命令是在关闭Linux系统时使用的。
      Linux 系统中欲写入硬盘的资料有的时候为了效率起见,会写到 filesystem buffer 中,这个 buffer 是一块记忆体空间,如果欲写入硬盘的资料存于此 buffer 中,而系统又突然断电的话,那么资料就会流失了,sync 指令会将存于 buffer 中的资料强制写入硬盘中
  • 如果你设置replication为async,请求在主分片上被执行后就会返回给客户端。它依旧会转发给复制节点,单你将不知道复制节点成功与否。
  • 上面的这个选项不建议使用。默认的sync复制允许ES强制反馈传输。async复制可能会因为在不等待其他分片就绪的情况下发送过多的请求而使ES过载。

参考链接:https://blog.csdn.net/weixin_30768175/article/details/98867645.

HTDST
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ElasticSearch合理分配索引分片原理
08-19
主要介绍了ElasticSearch合理分配索引分片原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
ELKstack学习【第02篇】Elasticsearch内部分片分片处理机制介绍
空青、
04-08 1506
1、副本分片介绍 1)什么是副本分片? 副本分片的主要目的就是为了故障转移,如果持有主分片的节点挂掉了,一个副本分片就会晋升为主分片的角色。 在索引写入时,副本分片做着与主分片相同的工作。新文档首先被索引进主分片然后再同步到其它所有的副本分片。增加副本数并不会增加索引容量。 无论如何,副本分片可以服务于读请求,如果你的索引也如常见的那样是偏向查询使用的,那你可以通过增加副本的数目来提升查询...
ELK 系列十、elasticsearch索引模版设置,规划分片和副本
wuwei的博客
05-16 7529
目录 1、索引模版设置 1.0 了解下分片和副本 1.1 新建或修改模版 1.2 删除索引模版 1.3 查询模版 2、预设置索引,设置分片和副本 1、索引模版设置 1.0 了解下分片和副本 分片和副本: es分片share相当于关系型数据库的表分区,一般一个分片处理30g的存储数据,如果规划有300g可分10个分片 根据建议,至少需要 10 个分片。 结果: 建...
Elasticsearch相关技术点
猪猪
05-09 446
Elasticsearch
ElasticSearch:集群(Cluster),节点(Node),分片(Shard),Indices(索引),replicas(备份)之间关系...
weixin_34313182的博客
01-26 165
【Cluster】集群,一个ES集群由一个或多个节点(Node)组成,每个集群都有一个cluster name作为标识------------------------------------------------【node】节点,一个ES实例就是一个node,一个机器可以有多个实例,所以并不能说一台机器就是一个node,大多数情况下每个node运行在一个独立的环境或虚拟机上。----------...
Elastic:总结收集日志的几种方法
Elastic 中国社区官方博客
11-21 4697
到目前为止,我们看到有很多不同的方法来收集日志。甚至,我们针对同样的一个日志,有好多种方法来进行采集。在今天的这篇文章,我来简单里回顾一下。
ELK日志分析索引、切片、生命周期等
砚墨
08-17 1202
1.elk的背景介绍与应用场景 在项目应用运行的过程,往往会产生大量的日志,我们往往需要根据日志来定位分析我们的服务器项目运行情况与BUG产生位置。一般情况下直接在日志文件tailf、 grep、awk 就可以获得自己想要的信息。但在规模较大的场景,此方法效率低下,面临问题包括日志量过大、文本搜索太慢、如何多维度查询。这就需要对服务器上的日志收集汇总。常见解决思路是建立集式日志收集系统,将所有节点上的日志统一收集,管理,访问。 一般大型系统往往是一种分布式部署的架构,不同的服务模块部署在不同的服务器
log4j2日志输出分组分片
JohnGene的博客
01-29 1729
介绍 目的:实现SpringBoot+log4j2的日志分片操作。 问题:大多数项目启动方式是: nohup java -Xms512m -Xmx512m -Dspring.profiles.active=test -jar xxx.jar --SERVER_NAME=$NAME >> log.log & 缺点是只能通过tail -f 命令实时查看,而无法打开超过100M的日志文件,或者说打开的非常慢,这时候就需要将日志按照大小或者时间段进行分割存储。 原来的nohub日志可
ELK日志管理系统图示全过程详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-09 7559
概要 我们常说的ELK日志收集系统,完整的应该称为:ELK Stack是软件集合Elasticsearch、Logstash、Kibana的简称,它们都是开源软件,目前称为:Elastic Stack,其是ELK Stack 在 5.0 版本加入 Beats 套件后的新称呼。新增得FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集..................
SpringBoot使用log4j2进行日志分片
做GIS梦的人
05-07 949
在后端开发,经常需要在服务器上查看日志。不进行特殊处理的话,一个日志文件可能最终到几十个G,查看起来非常不方便。这里使用log4j2对SpringBoot服务的日志进行一个根据日期切片。一个SpringBoot项目默认就是使用的就是logback日志系统,在一些特定场景下log4j2的性能相对更优。这里介绍一下如何使用配置log4j2,按照不同的的日期归档日志、固定大小分割日志、不同消息类型不同日志文件、控制台彩色输出。 引入依赖 在pom.xml添加 <dependency&gt
Docker构建ELK Docker集群日志收集系统
01-10
Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash是一个完全开源的工具,他可以对你的日志进行...
docker安装ELK日志平台
02-06
它的特点有:分布式,零配置,自动发现,索引自动分片索引副本机制,restful风格接口,多数据源,自动搜索负载等。主要负责将日志索引并存储起来,方便业务方检索查询。 Logstash 主要是用来日志的搜集、分析、...
ELK部署文指南
09-26
Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash是一个完全开源的工具,它可以对你的日志进行...
日志汇总与分析(ELK).pptx
12-19
它的特点:实时分析,分布式存储,零配置,自动发现,索引自动分片,Restful风格接口,多数据源,自动搜索负载等。 Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式...
如何安装ELK(linux)
01-20
它的特点有:分布式,零配置,自动发现,索引自动分片索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取
12|引擎分片:Elasticsearch如何实现大数据检索?
sucaiwa的博客
02-28 501
不得不感叹,Elasticsearch通过组合一片片小Lucene的服务,就实现了大型分布式数据的全文检索。这无论放到当时还是现在,都很不可思议。可以说了,Elasticsearch 几乎垄断了所有日志实时分析、监控、存储、查找、统计的市场,其用到的技术有很多地方可圈可点。现在市面上新生代开源虽然很多,但是论完善性和多样性,能够彻底形成平台性支撑的开源仍然很少见。而Elasticsearch本身是一个十分庞大的分布式检索分析系统,它对数据的写入和查询做了大量的优化。
ELK日志分析系统
Liqi23的博客
12-11 1896
比如,你可以拥有某一个客户的文档,某一个产品的一个文档,当然,也可以拥有某个订单的一个文档。7、可视化多数据源。一个类型是你的索引的一个逻辑上的分类/分区,其语义完全由你来定。Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片索引副本(replicat)机制,restful风格接口,多数据源,自动搜索负载等。一个索引由一个名字来标识(必须全部是小写字母的),并且当我们要对对应于这个索引的文档进行索引、搜索、更新和删除的时候,都要使用到这个名字。
ELK 企业级日志分析系统
m0_74412260的博客
07-11 1125
ELK平台是一套完整的日志集理解决方案,将(简称ES)、Logstash和Kiabana三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Elasticsearch 是用 Java 开发的,可通过 RESTful Web 接口,让用户可以通过浏览器与 Elasticsearch 通信。(可以通过HTTP协议来发传输一些命令来控制ES执行一些管理操作)
elk master 节点
最新发布
02-27
ELK是指Elasticsearch、Logstash和Kibana的组合,用于实时日志分析和可视化。ELK集群由多个节点组成,其包括Master节点、Data节点和Client节点。 ELK Master节点是ELK集群的控制节点,负责管理集群的元数据和协调集群的各个节点。Master节点主要的功能包括: 1. 集群管理:Master节点负责管理集群的状态、索引和节点的分配。它会监控集群的其他节点,并在需要时重新分配分片以实现负载均衡。 2. 元数据管理:Master节点维护集群的元数据,包括索引的映射关系、分片的分配情况等。它会将这些元数据分发给其他节点,以便它们能够正确地处理请求。 3. 故障检测和恢复:Master节点会监控集群的节点状态,并在节点故障或离线时进行故障检测和恢复。它会重新分配故障节点上的分片,以确保数据的可用性。 4. 集群扩展:Master节点允许动态地添加或删除Data节点,以扩展或缩小集群的规模。它会自动处理新节点的加入和旧节点的离开。 总之,ELK Master节点是ELK集群的控制心,负责管理集群的状态、元数据和节点的分配,以确保集群的稳定运行和高可用性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值