elk笔记8--index

已于 2024-03-11 14:32:49 修改
阅读量1.6k 收藏 1
点赞数
分类专栏: Bigdata 文章标签: elk 索引 es常见错误处理方法 elasticsearch
于 2020-06-21 12:58:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011127242/article/details/106883754
版权

elk笔记8--index

1. index 创建的几种方式

1.1 直接创建index

第一种方式最普通,此类index 写入时在logstash中直接指定index01即可;
其缺点是当日志量大的时候,会影响性能。

PUT index01
{}
out:
{
  "acknowledged" : true,
  "shards_acknowledged" : true,
  "index" : "index01"
}

1.2 按照当前日期创建索引

该方式创建日志,写入时候每天会创建一个带日期的index,此类写入时在logstash中配置如下:
index => “index02-%{+YYYY.MM.dd}”

PUT /%3Cindex02-%7Bnow%2Fd%7D%3E
{}
out:
{
  "acknowledged" : true,
  "shards_acknowledged" : true,
  "index" : "index02-2020.06.21"
}

1.3 创建带有rollover功能的索引

该方式新建一个index带日期和序号,并设置一个_write别名;
每次执行rollover的时候,会按照当前日期和和序号+1的方式生成新索引,并将_write别名指向最新索引;
因此实际写入的时候直接使用_write索引即可,该方式比较使用生产中使用;
实际使用的时候,若数据量过大,应该加一个cron定时按照策略进行rollover。

PUT /%3Cindex03-%7Bnow%2Fd%7D-000001%3E
{
  "aliases": {
  "index03_write": {}
  }
}
out:
{
  "acknowledged" : true,
  "shards_acknowledged" : true,
  "index" : "index03-2020.06.21-000001"
}
rollover:
POST index03_write/_rollover
out:
{
  "acknowledged" : true,
  "shards_acknowledged" : true,
  "old_index" : "index03-2020.06.21-000001",
  "new_index" : "index03-2020.06.21-000002",
  "rolled_over" : true,
  "dry_run" : false,
  "conditions" : { }
}

2. 索引的常见设置

2.1 基本设置

  1. index.number_of_replicas 副本数量
  2. index.routing.allocation.require.zone 索引存储的zone
  3. index.routing.allocation.include._name 索引存储的节点名称
  4. index.routing.allocation.include._ip 索引存储的节点ip
  5. index.routing.allocation.total_shards_per_node 索引在每个节点上可以存储多少个分片

2.2 index 为unassigned的常见处理方式

当集群yellow时候,一般为分配未正常分配,包括如下常见4类处理方法:

  1. zone限制

    PUT index_name/_settings
{
  "index" : {
    "routing" : {
      "allocation" : {
        "require" : {
          "zone" : ""
        }
      }
    }
  }
}

  2. include._ip 限制

    PUT index_name/_settings
{
 "index" : {
 "routing" : {
   "allocation" : {
     "include" : {
       "_ip" : ""
        }
      }
    }
  }
}

  3. include._name 限制

    PUT index_name/_settings
{
 "index" : {
 "routing" : {
   "allocation" : {
     "include" : {
       "_name" : ""
        }
      }
    }
  }
}

  4. total_shards_per_node 值过小导致shard无法分配到所有节点上

    PUT index_name/_settings
{
  "index" : {
    "routing" : {
      "allocation" : {
        "total_shards_per_node" : "3" #此值根据节点数量和分片数量更改即可
      }
    }
  }
}

  5. data 节点数量不够,导致主备shard无法分配
    案例说明:
    用户收到告警:集群为yellow
    在集群中通过 GET _cluster/allocation/explain 查看结果如下,即同一个索引的副本和主分片不能出现在同一个节点中, 推测可能节点数量不够;

    "explanation": "the shard cannot be allocated to the same node on which a copy of the shard already exists [[id5_equip_v1][1], node[Htz1RdjST-2gdvkti0xfCQ], [P], s[STARTED], a[id=NaGQ1AraS_SQwUKb-1j2xw]]"

    继续 GET _cat/nodes?v , 发现集群中只有一个data节点,3个master节点,因此可以判断是集群节点数量少,而索引设置了非0副本导致yellow的。

    解决方法1:
添加data节点,使其能够分配shard;
解决方法2:
用户可以接受的情况下,设置shard的副本为0,一般测试集群可以设置副本为0,正式集群建议设置1个副本
index_name
PUT index_name/_settings
{
  "index": {
    "number_of_replicas":"0"
  }
}

  6. 达到上限导致无法分配新的分片

    报错信息:
"explanation": "reached the limit of incoming shard recoveries [2], cluster setting [cluster.routing.allocation.node_concurrent_incoming_recoveries=2] (can also be set via [cluster.routing.allocation.node_concurrent_recoveries])"
解决方法,适当提高node_concurrent_recoveries,默认为2
PUT _cluster/settings
{
   "transient": {
     "cluster.routing.allocation.node_concurrent_recoveries": 10
   }
 }

2.3 集群为red处理

笔者由于磁盘异常,且某些测试index没有设置副本,导致节点为red。
此时处理方法包括:
1)删除red的index
所有的数据都会丢失
2)通过reroute对red对应的index分配空的primary shard
丢失的分片数据丢失,没丢失的可以继续使用

GET _cluster/allocation/explain
{
  "index" : "dmesg001-2020.07.15-000003",
  "shard" : 1,
  "primary" : true,
  "current_state" : "unassigned",
  "unassigned_info" : {
    "reason" : "NODE_LEFT",
    "at" : "2020-07-15T15:27:55.563Z",
    "details" : "node_left [J2H0nVv9T-uH-ZymDUJ2yQ]",
    "last_allocation_status" : "no_valid_shard_copy"
  },
  "can_allocate" : "no_valid_shard_copy",
  "allocate_explanation" : "cannot allocate because a previous copy of the primary shard existed but can no longer be found on the nodes in the cluster",
  ......
  }
  
分配分片异常的,可以先通过reroute加retry_failed 参数来初步修复, 也可以尝试 _flush,无法修复的可以尝试分配空分片。
POST /_cluster/reroute?retry_failed=true

POST red_index_name/_flush

POST _cluster/reroute
{
"commands" : [ {
"allocate_empty_primary" : {
"index" : "dmesg001-2020.07.15-000003",
"shard" : 1,
"node" : "node-3",
"accept_data_loss" : true
}
}
]
}

例如,当出现如下报错,就可以考虑使用 reroute 操作,一般情况下可以正常分配shard
failed shard on node [j3qRTIRuR8ChEebKc6qCsw]: failed to create shard, failure IOException[failed to obtain in-memory shard lock]; nested: ShardLockObtainFailedException[[prediction-protobuf-portal-2023-02-03-00][9]: obtaining shard lock timed out after 5000ms, previous lock details: [shard creation] trying to lock for [shard creation]];

2.4 提高消费速度常见方法

  1. 适当增加分片数量
    当logstash资源充足的时候,shard数量过少可能造成写入瓶颈,因此此时可以 适当增加shard分片数据。
  2. 适当增加logstash数量
    当shard分片数据比较多,logstash数量较少的时候,可能造成消费 瓶颈,此时可以通过增加logstash数量来提高消费速率。
  3. 适当增加kafka topic partion数量
    当分片数量和logstash数量充足的时候,若topic partion过低,也会导致logstash无法提高消费速率,此时可以适当提高topic的partion数量。
  4. 将索引写入到ssd节点
    对于有一定规模的集群,可以设置hot、stale、freeze节点,hot节点用ssd节点,stale节点用普通的机械盘,freeze节点用最差的机械盘。
    写入时候一般将重要的索引直接写入hot节点(保证最快的写入速率),普通的索引 写入到stale节点,冻结的索引保存在freeze节点。当stale节点中的索引写入速度无法提上去的时候,就可以通过rollover将起分配到hot节点中,从而提高起写入速率。
    POST a01_logtail_write/_rollover
{
  "settings": {
  "index": {
  "number_of_shards" : "6",
  "routing": {
    "allocation": {
      "require": {
        "zone": "hot"
          }
        }
      }
    }
  }
}
  5. 去掉副本
    去掉副本可以明显提高写入速率,但节点故障存在一定丢数据的风险;因此 ,当数据不太重要,紧急情况下可以通过去掉副本来快速提高写入速率,数据无lag的时候可以再恢复副本。
  6. 使用hangout代替logstash
    在同等资源下,hangout的消费速率明显比logstash高一般是logstash的2-3倍的消费速率。

2.5 常见问题

  1. index 创建了如何修改shard数量
    正常情况是不允许修改的,对于可以rollover类型,或者按照日期的index,可以通过修改模板来更新shard数量,从而创建下一个index的时候就自动更新了shard数量;
    如下创建模板后,更新settings的shard数据即可:

    PUT _template/index_03
{
     "index_patterns": ["index03-*"], 
     "settings": {
       "number_of_shards": 2
     }
   }

  2. 判断集群状态常用的命令

    GET _cluster/allocation/explain
GET _cat/health?v
GET _cat/indices?v&health=yellow
GET _cat/shards?h=index,shard,prirep,state,unassigned.reason
GET index_name/_setting
默认 explain 不会区分primary和非primary,且只能查看1个shard;所以,当有多个shard异常的时候,一般先用_cat/shards?v 查看哪些shard未分配且为主分片,然后再用条件式的explain查看具体原因
GET _cluster/allocation/explain
{
 "index": "my-index-000001",
 "shard": 0,
 "primary": true
}

    结合以上命令,基本可以查找出集群异常状态原因。

  3. curl 查询更新信息

    无认证的集群: curl h01:9201/_cat/indices 
有认证的集群:curl -u elastic:elastic [-XGET可以省略] h01:9204/_cat/indices ,需要 -u 参数加入用户认证
使用curl put数据:curl -u elastic:elastic -H "Content-Type: application/json" -XPUT h01:9204/test1122/_settings -d '{"index": { "number_of_replicas": "0"}}' 
XPUT必须要加上,且需要加上-H "Content-Type: application/json"参数,否则会报如下406错误:
{"error":"Content-Type header [application/x-www-form-urlencoded] is not supported","status":406}

  4. forcemerge 快速停用方法

     可以用如下命令查看当前正在执行的forcemerge任务,forcemerge 无法手动取消,要么等其自动完成,要么暴力重启节点
 GET _tasks?detailed=true&actions=*forcemerge
  查看各个节点forceMerge的线程数:
  GET _cat/thread_pool/force_merge?v&s=name

3. 说明

参考:
elastic mapping
1 ElasticSearch按日生成index的两种方法
环境:
es7.2.1

昕光xg
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
ELK日志采集
YMY_666的博客
07-29 631
创建日志索引使文档按照时间字段datetime倒序排序。
elasticsearch, kibana, 6.8.18 版本下的创建索引,指定timestamp,java CRUD,maven版本等
最新发布
festone000的专栏
07-19 585
elkes,kibana , elasticsearch 6.8.18 版本下的一系列操作记录。 亲测成功。
ElasticsearchElasticsearch索引创建与管理详解
热门推荐
屿小夏.的知识博客
07-01 7万+
Elasticsearch 是一个基于 Apache Lucene 的开源搜索引擎,具有分布式、近实时、RESTful API 等特点。索引Elasticsearch 的核心概念之一,索引创建和管理是使用 Elasticsearch 的基础技能。本文将详细介绍 Elasticsearch 索引创建与管理,包括索引的基础概念、创建索引索引模板、映射和索引别名等内容。
ELK合集(四):Elasticsearch关键术语之Index索引 持续更新
专注大数据与自由
03-21 1245
这个章节涉及到的相关概念 使用和配置等 会持续更新 Index索引 概念 名词 就是一个表 存了一类文档 从数据库的角度 ES的一个index索引就是一个表 (数据库常说 查一下这个表的数据 ES叫做查一下这个index索引的数据) 其他含义 名词 一个Btree索引 一个倒排索引 也叫索引 动词 给ES数据库插入一条Document文档数据的过程 也叫索引 创建一个倒排索引的过程 也叫...
ELK---索引Elasticsearch 7.17)
Abner_G的博客
02-13 2913
https://blog.csdn.net/weixin_43871371/article/details/102973708
如何给ELK日志加上索引
Crecendow
08-14 754
业务日志里的log patter放了seq 字段,那就可以在进入aop的时候 打上seq作为日志的字段索引,然后在处理流程结束的时候,拿出seq字段索引,这样排查的时候,就可以根据这个字段来排查了。1、遇到长流程的时候,日志记录是非常重要的。如何排查日志,可以在MDC中去put对应的值,这样就等于对你关心的关键字段加上了索引,在elk中可以通过该索引就能 容易排查到问题。同样的,如果是kafka的接受类,你可以把 offset和partition作为字段索引,也是及其好用的。
ELK 基础原理 索引 (一)
qq_50909707的博客
09-17 861
通过倒排索引将关键字与对于索引关联,有效地提高查询效率。再次查询所有索引,我们可以看到对应的索引已经不存在了。Elasticsearch与Mysql的类比。
ELK(六)ElasticSearch索引
yiyiatgis的专栏
03-05 3978
1、ElasticSearch中存储文档的过错称之为索引ElasticSearch中文档归属于一种类型(type),而这些类型存在于索引(index)当中,对比关系型数据如下: Relational DB -> Databases -> Tables -> Rows -> Columns Elasticsearch -> Indices   -> Types  -> Documents ->
es 创建索引 指定id_elk学习笔记-es-文档及索引操作
weixin_39793794的博客
12-21 990
常见术语文档 Document用户存储在es中的数据文档,相当于mysql数据表中的一行数据索引 index由具有相同字段的文档列表组成,相当于mysql数据库中的表,table节点 Node一个elasticsearch 的运行实例,是集群的构成单元。集群 Cluster由一个或多个节点组成,对外提供服务DocumentJson Object,有字段(field)组成,常见数据类型如下:字符串:...
ELK分布式日志收集-企业级日志中心
leafseelight的专栏
08-05 1170
传统项目中,如果需要在生产环境定位异常的话,我们常常需要在服务器上使用命令的方式查询。而很多情况我们需要用到微服务架构或集群架构,日志被分散在不同的机器上,使得日志的查询变得异常困难。工欲善其事,必先利其器。如果此时有一个统一的实时日志分析平台,那可谓是绝渡逢舟,必定能够提高我们排查线上问题的效率。本文我们就来一起学习下开源的实时日志分析平台 ELK 的搭建及使用。 〓ELK 简介 ELK 是一个开源的实时日志分析平台,它主要由 Elasticsearch、Logstash 和 Kibana 三部.
ELK Elasticsearch 笔记(二)文档索引及管理
qq_15654157的博客
04-27 364
一、Elasticsearch 索引及其构建 简单来说,在Elasticsearch中建立索引的简要流程如下: 准备待处理的文档。一般而言,文档准备考研采用JSON格式,也可以使用第三方的工具协助进行处理。 将准备好的数据提交文档给Elasticsearch。 完成索引。 返回索引结果。http://localhost:9200/index名称/type名称/文档唯一标识 ...
阿龙的学习笔记---ElasticSeach的学习与记录
阿龙的博客
03-31 154
一些博客资料 APIDoc:https://elasticsearch-py.readthedocs.io/en/7.10.0/api.html#cluster 官方集群相关startup文档: https://www.elastic.co/guide/en/elasticsearch/reference/current/modules-cluster.html 知乎Es入门: https://zhuanlan.zhihu.com/p/104215274 https://zhuanlan.zhi
ELK安装配置学习笔记
glisten0317的博客
08-30 1122
ELK(filebeat、logstash、elasticsearch和kibana)的安装配置,监控nginx日志
ELK index使用lifecycle
scott824的博客
09-26 2198
使用elk时,为了避免日志单个index过大,一般都会将日志按大小/日期作切割,增加查询的效率,elk自身提供了lifecycle作轮询,但是使用lifecycle管理必须要求index必须以-/d+格式结尾,在此之前,作者一直使用logstash中output配置 index => "logstash-%{+YYYY.MM.dd}" 来达到和lifecyle一样的目的。这种用法无法...
ELK索引, 创建, 查看, 删除, 分词器安装及使用, 映射, 创建, 查看, 修改,文档,增删改查及局部更新
gaoshan12345678910的博客
02-24 1290
ELK索引, 创建, 查看, 删除, 分词器安装及使用, 映射, 创建, 查看, 修改,文档,增删改查及局部更新
kibana 更新 索引模式_ELK-kibana7.6.2版本脚本创建索引、设置默认索引方法
weixin_39978276的博客
12-30 816
ELK-kibana7.6.2版本脚本创建索引、设置默认索引方法kibana设置默认索引版本:ELK7.6.2方法:1.前提是es中有这个索引2.通过脚本创建kibana中的索引3.设置默认索引脚本#!/bin/bash# 构建索引名字today=`date +%Y.%m.%d`system_log=system-${today}logstash_log=logstash-${today}#in...
ELK高级搜索五之索引管理
yangyanping20108的博客
04-20 414
创建索引 创建索引的语法 PUT /index { "settings": { ... any settings ... }, "mappings": { "properties" : { "field1" : { "type" : "text" } } }, "aliases": { "otherName": {} } } 创建一个新闻索引 PUT localhost:9200/artic.
【教你通透ELKES索引管理
走向CTO的路上...
08-04 151
(2)文档:文档是 Elasticsearch 中的最小数据单元,可以理解为一条记录,每个文档都有一个唯一的标识符,也可以包含一个或多个字段。(1)索引索引Elasticsearch 存储和管理数据的基本单元,每个索引包含多个文档。(1)数据存储:将数据存储在索引中,每个索引可以包含多个文档,每个文档可以包含多个字段。(2)数据索引:对数据进行索引创建倒排索引以支持快速的全文搜索和过滤。(3)搜索和过滤:根据用户的查询条件进行搜索和过滤,返回符合条件的文档。
ELK -- Kibana 创建索引样式
RunzIyy的博客
03-06 1694
ELK – Kibana 创建索引样式: 1. 访问 APPServer 产生日志 2. 访问 Kibana kibana 监听端口 5601 http://kibana-ip:5601 http://192.168.116.104:5601 3. 创建索引样式 创建样式,可以选择自己喜欢的 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昕光xg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值