elk笔记8--index

已于 2024-03-11 14:32:49 修改
阅读量1.7k 收藏 1
点赞数
分类专栏: Bigdata 文章标签: elk 索引 es常见错误处理方法 elasticsearch
于 2020-06-21 12:58:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011127242/article/details/106883754
版权

elk笔记8--index

1. index 创建的几种方式

1.1 直接创建index

第一种方式最普通,此类index 写入时在logstash中直接指定index01即可;
其缺点是当日志量大的时候,会影响性能。

PUT index01
{}
out:
{
  "acknowledged" : true,
  "shards_acknowledged" : true,
  "index" : "index01"
}

1.2 按照当前日期创建索引

该方式创建日志,写入时候每天会创建一个带日期的index,此类写入时在logstash中配置如下:
index => “index02-%{+YYYY.MM.dd}”

PUT /%3Cindex02-%7Bnow%2Fd%7D%3E
{}
out:
{
  "acknowledged" : true,
  "shards_acknowledged" : true,
  "index" : "index02-2020.06.21"
}

1.3 创建带有rollover功能的索引

该方式新建一个index带日期和序号,并设置一个_write别名;
每次执行rollover的时候,会按照当前日期和和序号+1的方式生成新索引,并将_write别名指向最新索引;
因此实际写入的时候直接使用_write索引即可,该方式比较使用生产中使用;
实际使用的时候,若数据量过大,应该加一个cron定时按照策略进行rollover。

PUT /%3Cindex03-%7Bnow%2Fd%7D-000001%3E
{
  "aliases": {
  "index03_write": {}
  }
}
out:
{
  "acknowledged" : true,
  "shards_acknowledged" : true,
  "index" : "index03-2020.06.21-000001"
}
rollover:
POST index03_write/_rollover
out:
{
  "acknowledged" : true,
  "shards_acknowledged" : true,
  "old_index" : "index03-2020.06.21-000001",
  "new_index" : "index03-2020.06.21-000002",
  "rolled_over" : true,
  "dry_run" : false,
  "conditions" : { }
}

2. 索引的常见设置

2.1 基本设置

  1. index.number_of_replicas 副本数量
  2. index.routing.allocation.require.zone 索引存储的zone
  3. index.routing.allocation.include._name 索引存储的节点名称
  4. index.routing.allocation.include._ip 索引存储的节点ip
  5. index.routing.allocation.total_shards_per_node 索引在每个节点上可以存储多少个分片

2.2 index 为unassigned的常见处理方式

当集群yellow时候,一般为分配未正常分配,包括如下常见4类处理方法:

  1. zone限制

    PUT index_name/_settings
{
  "index" : {
    "routing" : {
      "allocation" : {
        "require" : {
          "zone" : ""
        }
      }
    }
  }
}

  2. include._ip 限制

    PUT index_name/_settings
{
 "index" : {
 "routing" : {
   "allocation" : {
     "include" : {
       "_ip" : ""
        }
      }
    }
  }
}

  3. include._name 限制

    PUT index_name/_settings
{
 "index" : {
 "routing" : {
   "allocation" : {
     "include" : {
       "_name" : ""
        }
      }
    }
  }
}

  4. total_shards_per_node 值过小导致shard无法分配到所有节点上

    PUT index_name/_settings
{
  "index" : {
    "routing" : {
      "allocation" : {
        "total_shards_per_node" : "3" #此值根据节点数量和分片数量更改即可
      }
    }
  }
}

  5. data 节点数量不够,导致主备shard无法分配
    案例说明:
    用户收到告警:集群为yellow
    在集群中通过 GET _cluster/allocation/explain 查看结果如下,即同一个索引的副本和主分片不能出现在同一个节点中, 推测可能节点数量不够;

    "explanation": "the shard cannot be allocated to the same node on which a copy of the shard already exists [[id5_equip_v1][1], node[Htz1RdjST-2gdvkti0xfCQ], [P], s[STARTED], a[id=NaGQ1AraS_SQwUKb-1j2xw]]"

    继续 GET _cat/nodes?v , 发现集群中只有一个data节点,3个master节点,因此可以判断是集群节点数量少,而索引设置了非0副本导致yellow的。

    解决方法1:
添加data节点,使其能够分配shard;
解决方法2:
用户可以接受的情况下,设置shard的副本为0,一般测试集群可以设置副本为0,正式集群建议设置1个副本
index_name
PUT index_name/_settings
{
  "index": {
    "number_of_replicas":"0"
  }
}

  6. 达到上限导致无法分配新的分片

    报错信息:
"explanation": "reached the limit of incoming shard recoveries [2], cluster setting [cluster.routing.allocation.node_concurrent_incoming_recoveries=2] (can also be set via [cluster.routing.allocation.node_concurrent_recoveries])"
解决方法,适当提高node_concurrent_recoveries,默认为2
PUT _cluster/settings
{
   "transient": {
     "cluster.routing.allocation.node_concurrent_recoveries": 10
   }
 }

2.3 集群为red处理

笔者由于磁盘异常,且某些测试index没有设置副本,导致节点为red。
此时处理方法包括:
1)删除red的index
所有的数据都会丢失
2)通过reroute对red对应的index分配空的primary shard
丢失的分片数据丢失,没丢失的可以继续使用

GET _cluster/allocation/explain
{
  "index" : "dmesg001-2020.07.15-000003",
  "shard" : 1,
  "primary" : true,
  "current_state" : "unassigned",
  "unassigned_info" : {
    "reason" : "NODE_LEFT",
    "at" : "2020-07-15T15:27:55.563Z",
    "details" : "node_left [J2H0nVv9T-uH-ZymDUJ2yQ]",
    "last_allocation_status" : "no_valid_shard_copy"
  },
  "can_allocate" : "no_valid_shard_copy",
  "allocate_explanation" : "cannot allocate because a previous copy of the primary shard existed but can no longer be found on the nodes in the cluster",
  ......
  }
  
分配分片异常的,可以先通过reroute加retry_failed 参数来初步修复, 也可以尝试 _flush,无法修复的可以尝试分配空分片。
POST /_cluster/reroute?retry_failed=true

POST red_index_name/_flush

POST _cluster/reroute
{
"commands" : [ {
"allocate_empty_primary" : {
"index" : "dmesg001-2020.07.15-000003",
"shard" : 1,
"node" : "node-3",
"accept_data_loss" : true
}
}
]
}

例如,当出现如下报错,就可以考虑使用 reroute 操作,一般情况下可以正常分配shard
failed shard on node [j3qRTIRuR8ChEebKc6qCsw]: failed to create shard, failure IOException[failed to obtain in-memory shard lock]; nested: ShardLockObtainFailedException[[prediction-protobuf-portal-2023-02-03-00][9]: obtaining shard lock timed out after 5000ms, previous lock details: [shard creation] trying to lock for [shard creation]];

2.4 提高消费速度常见方法

  1. 适当增加分片数量
    当logstash资源充足的时候,shard数量过少可能造成写入瓶颈,因此此时可以 适当增加shard分片数据。
  2. 适当增加logstash数量
    当shard分片数据比较多,logstash数量较少的时候,可能造成消费 瓶颈,此时可以通过增加logstash数量来提高消费速率。
  3. 适当增加kafka topic partion数量
    当分片数量和logstash数量充足的时候,若topic partion过低,也会导致logstash无法提高消费速率,此时可以适当提高topic的partion数量。
  4. 将索引写入到ssd节点
    对于有一定规模的集群,可以设置hot、stale、freeze节点,hot节点用ssd节点,stale节点用普通的机械盘,freeze节点用最差的机械盘。
    写入时候一般将重要的索引直接写入hot节点(保证最快的写入速率),普通的索引 写入到stale节点,冻结的索引保存在freeze节点。当stale节点中的索引写入速度无法提上去的时候,就可以通过rollover将起分配到hot节点中,从而提高起写入速率。
    POST a01_logtail_write/_rollover
{
  "settings": {
  "index": {
  "number_of_shards" : "6",
  "routing": {
    "allocation": {
      "require": {
        "zone": "hot"
          }
        }
      }
    }
  }
}
  5. 去掉副本
    去掉副本可以明显提高写入速率,但节点故障存在一定丢数据的风险;因此 ,当数据不太重要,紧急情况下可以通过去掉副本来快速提高写入速率,数据无lag的时候可以再恢复副本。
  6. 使用hangout代替logstash
    在同等资源下,hangout的消费速率明显比logstash高一般是logstash的2-3倍的消费速率。

2.5 常见问题

  1. index 创建了如何修改shard数量
    正常情况是不允许修改的,对于可以rollover类型,或者按照日期的index,可以通过修改模板来更新shard数量,从而创建下一个index的时候就自动更新了shard数量;
    如下创建模板后,更新settings的shard数据即可:

    PUT _template/index_03
{
     "index_patterns": ["index03-*"], 
     "settings": {
       "number_of_shards": 2
     }
   }

  2. 判断集群状态常用的命令

    GET _cluster/allocation/explain
GET _cat/health?v
GET _cat/indices?v&health=yellow
GET _cat/shards?h=index,shard,prirep,state,unassigned.reason
GET index_name/_setting
默认 explain 不会区分primary和非primary,且只能查看1个shard;所以,当有多个shard异常的时候,一般先用_cat/shards?v 查看哪些shard未分配且为主分片,然后再用条件式的explain查看具体原因
GET _cluster/allocation/explain
{
 "index": "my-index-000001",
 "shard": 0,
 "primary": true
}

    结合以上命令,基本可以查找出集群异常状态原因。

  3. curl 查询更新信息

    无认证的集群: curl h01:9201/_cat/indices 
有认证的集群:curl -u elastic:elastic [-XGET可以省略] h01:9204/_cat/indices ,需要 -u 参数加入用户认证
使用curl put数据:curl -u elastic:elastic -H "Content-Type: application/json" -XPUT h01:9204/test1122/_settings -d '{"index": { "number_of_replicas": "0"}}' 
XPUT必须要加上,且需要加上-H "Content-Type: application/json"参数,否则会报如下406错误:
{"error":"Content-Type header [application/x-www-form-urlencoded] is not supported","status":406}

  4. forcemerge 快速停用方法

     可以用如下命令查看当前正在执行的forcemerge任务,forcemerge 无法手动取消,要么等其自动完成,要么暴力重启节点
 GET _tasks?detailed=true&actions=*forcemerge
  查看各个节点forceMerge的线程数:
  GET _cat/thread_pool/force_merge?v&s=name

3. 说明

参考:
elastic mapping
1 ElasticSearch按日生成index的两种方法
环境:
es7.2.1

昕光xg
关注
专栏目录
elk的docker-compose配置
12-17
- cluster.name=elk-cluster - discovery.type=single-node - "ES_JAVA_OPTS=-Xms512m -Xmx512m" volumes: - esdata1:/usr/share/elasticsearch/data ports: - "9200:9200" - "9300:9300" networks: - elk...
elasticsearch, kibana, 6.8.18 版本下的创建索引,指定timestamp,java CRUD,maven版本等
最新发布
festone000的专栏
07-19 611
elkes,kibana , elasticsearch 6.8.18 版本下的一系列操作记录。 亲测成功。
ElasticsearchElasticsearch索引创建与管理详解
热门推荐
屿小夏.的知识博客
07-01 7万+
Elasticsearch 是一个基于 Apache Lucene 的开源搜索引擎,具有分布式、近实时、RESTful API 等特点。索引Elasticsearch 的核心概念之一,索引创建和管理是使用 Elasticsearch 的基础技能。本文将详细介绍 Elasticsearch 索引创建与管理,包括索引的基础概念、创建索引索引模板、映射和索引别名等内容。
Elasticsearch模块功能之-索引分片分配(Index shard allocation)
路漫漫其修远兮
08-06 2万+
1、分片分配                    包含或者排除filters可以来控制基于节点的索引分配。filters可以在索引级别和集群级别进行设置。如下使用集群级别举例:                    设定有4个节点,每个的节点指定一个属性tag(可以随意修改),并赋予特定值,比如节点1设置为node.tag:value1,节点二设置为node.tag:value2等等。创建
ELK索引, 创建, 查看, 删除, 分词器安装及使用, 映射, 创建, 查看, 修改,文档,增删改查及局部更新
gaoshan12345678910的博客
02-24 1298
ELK索引, 创建, 查看, 删除, 分词器安装及使用, 映射, 创建, 查看, 修改,文档,增删改查及局部更新
Elasticsearch7.17 五 :ES读写原理、分片设计和性能优化
admin522043032的博客
06-23 3437
单个分片 7.0开始,新创建一个索引时,默认只有一个主分片。单个分片,查询算分,聚合不准的问题都可以得以避免 单个索引,单个分片时候,集群无法实现水平扩展。即使增加新的节点,无法实现水平扩展 两个分片 集群增加一个节点后,Elasticsearch 会自动进行分片的移动,也叫 Shard Rebalancing 如何设计分片数 当分片数>节点数时,一旦集群中有新的数据节点加入,分片就可以自动进行分配,分片在重新分配时,系统不会有downtime 多分片的好处: 一个索引如果分布在不同的节点,多个节点可以并
Elasticsearch(二)- 索引-分片过滤器与延迟再分配
一点博客
11-18 1334
elasticsearch 索引分片过滤器, 分片延迟再分配, 慢查询日志的配置与使用.
ELK中文手册-清晰版
12-07
ELKElasticsearch, Logstash, Kibana)栈是大数据分析和日志管理领域的一个强大工具组合,尤其在实时搜索、监控和数据分析方面表现出色。本手册提供了ELK的中文详细指南,旨在帮助用户更好地理解和应用这套系统。 ...
elk6.6.2 x-apck破解
03-25
6.6.2版本elk x-pack破解,亲测可用,仅用于个人测试。
elk-stack-guide-cn.pdf
12-31
ELKElasticsearch、Logstash、Kibana三大开源框架首字母大写简称。市面上也被成为Elastic Stack。其中Elasticsearch是一个基于Lucene、分布式、通过Restful方式进行交互的近实时搜索平台框架。像类似百度、谷歌...
docker-elk-main.rar
05-20
docker-compose 方式部署ELK方案
Elasticsearch 7.10 之 Total shards per node
王大呀呀的博客
12-14 3284
集群级分片分配器尝试将单个索引的分片分布在尽可能多的节点上。但是,根据您拥有的分片和索引的数量以及它们的大小,可能并不总是能够均匀地分布分片。 以下动态设置允许您从每个节点允许的单个索引中指定分片总数的硬限制: index.routing.allocation.total_shards_per_node 将分配给单个节点的最大分片数(副本和主副本)。默认为无限。 您还可以限制节点可以拥有的分片数量,而与索引无关: cluster.routing.allocation.total_shards_per_nod
ELK合集(四):Elasticsearch关键术语之Index索引 持续更新
专注大数据与自由
03-21 1250
这个章节涉及到的相关概念 使用和配置等 会持续更新 Index索引 概念 名词 就是一个表 存了一类文档 从数据库的角度 ES的一个index索引就是一个表 (数据库常说 查一下这个表的数据 ES叫做查一下这个index索引的数据) 其他含义 名词 一个Btree索引 一个倒排索引 也叫索引 动词 给ES数据库插入一条Document文档数据的过程 也叫索引 创建一个倒排索引的过程 也叫...
ELK 基础原理 索引 (一)
qq_50909707的博客
09-17 875
通过倒排索引将关键字与对于索引关联,有效地提高查询效率。再次查询所有索引,我们可以看到对应的索引已经不存在了。Elasticsearch与Mysql的类比。
ELK---索引Elasticsearch 7.17)
Abner_G的博客
02-13 2971
https://blog.csdn.net/weixin_43871371/article/details/102973708
Elasticsearch Index Shard Allocation 索引分片分配策略
醉鱼的博客
01-19 635
Elasticsearch 的集群在分配分片的时候,Elasticsearch 会尽可能的将单个索引的分片尽可能的分配在尽可能多的节点上,但是有时不是那么的均匀。通过上述的操作可以让我们尽可能的防止数据丢失,但是如果离开的节点很快就恢复那么这可能就是没有必要的操作了。如果当前离开的节点上有主分片,会将其它的副本分片提升为主分片以替换该节点上的主分片;可以看到,有分片是没有进行分配的,所以这也是修改分片分配策略时需要特别注意的一点。如果延迟分配超时,主节点会将丢失的分片分配给另一个节点,该节点将开始恢复。
Elasticsearch」- 集群/索引 Red/Yellow 状态 @20210222
k4nz
02-22 920
问题描述 我们修改 JVM Heap 参数后,当重启集群后,集群呈现 Red 状态,部分索引也呈现 Red 状态。 使用 GET /_cluster/allocation/explain?pretty 接口,查看状态,得到如下信息: reached the limit of incoming shard recoveries [2], cluster setting [cluster.rou ting.allocation.node_concurrent_incoming_recoveries=.
ELK专栏之ES索引-04
m0_53157173的博客
09-16 1418
ES会根据传入的值,自动推断类型。● 日期探测(Date Detection):默认会按照一定格式识别date,比如yyyy-MM-dd,但是如果某个field先过来一个"2019-11-11"的值,就会自动被dynamic mapping识别成date,后面如果在过来一个"hello world"之类的值,就会报错。可以手动关闭某个type的date detection,如果有需要,自己手动指定某个field为date类型。示例:关闭日期探测。
使用ELK构建MCS-51单片机安全数据平台
"利用ELK构建安全数据分析平台——以51单片机为例" 在当前数字化时代,数据安全与分析变得越来越重要。ELKElasticsearch、Logstash、Kibana)堆栈是构建高效日志管理和数据分析平台的流行选择。本文将重点介绍...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昕光xg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值