监控日志loging elastIcsearch 规划篇(四)

最新推荐文章于 2024-03-28 13:16:10 发布
最新推荐文章于 2024-03-28 13:16:10 发布
阅读量332 收藏 1
点赞数
分类专栏: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35688430/article/details/107656261
版权
本文深入探讨了Elasticsearch的存储原理,包括分段存储、延迟写策略和段合并,以及如何规划节点,如主节点、数据节点、协调节点和Ingest节点的角色与职责。此外,文章还讨论了数据写入和搜索机制,以及如何有效地管理分片分配和迁移。
摘要由CSDN通过智能技术生成

elasticsearch 容量规划

一. ES的机制原理

ES的基本概念和基本操作介绍完了之后我们可能还有很多疑惑,它们内部是如何运行的?主分片和副本分片是如何同步的?创建索引的流程是什么样的?ES如何将索引数据分配到不同的分片上的?以及这些索引数据是如何存储的?为什么说ES是近实时搜索引擎而文档的 CRUD (创建-读取-更新-删除) 操作是实时的?以及Elasticsearch 是怎样保证更新被持久化在断电时也不丢失数据?还有为什么删除文档不会立刻释放空间?带着这些疑问我们进入接下来的内容。

写索引原理
下图描述了3个节点的集群,共拥有12个分片,其中有4个主分片(S0、S1、S2、S3)和8个副本分片(R0、R1、R2、R3),每个主分片对应两个副本分片,节点1是主节点(Master节点)负责整个集群的状态。
在这里插入图片描述

写索引是只能写在主分片上,然后同步到副本分片。这里有四个主分片,一条数据ES是根据什么规则写到特定分片上的呢?这条索引数据为什么被写到S0上而不写到S1或S2上?那条数据为什么又被写到S3上而不写到S0上了?

首先这肯定不会是随机的,否则将来要获取文档的时候我们就不知道从何处寻找了。实际上,这个过程是根据下面这个公式决定的:

shard = hash(routing) % number_of_primary_shards

routing 是一个可变值,默认是文档的 _id ,也可以设置成一个自定义的值。routing 通过 hash 函数生成一个数字,然后这个数字再除以 number_of_primary_shards (主分片的数量)后得到余数 。这个在 0 到 numberofprimary_shards-1 之间的余数,就是我们所寻求的文档所在分片的位置。

这就解释了为什么我们要在创建索引的时候就确定好主分片的数量并且永远不会改变这个数量:因为如果数量变化了,那么所有之前路由的值都会无效,文档也再也找不到了。

由于在ES集群中每个节点通过上面的计算公式都知道集群中的文档的存放位置,所以每个节点都有处理读写请求的能力。在一个写请求被发送到某个节点后,该节点即为前面说过的协调节点,协调节点会根据路由公式计算出需要写到哪个分片上,再将请求转发到该分片的主分片节点上。

假如此时数据通过路由计算公式取余后得到的值是 shard = hash(routing) % 4 = 0,则具体流程如下:

客户端向ES1节点(协调节点)发送写请求,通过路由计算公式得到值为0,则当前数据应被写到主分片S0上。
ES1节点将请求转发到S0主分片所在的节点ES3,ES3接受请求并写入到磁盘。
并发将数据复制到两个副本分片R0上,其中通过乐观并发控制数据的冲突。一旦所有的副本分片都报告成功,则节点ES3将向协调节点报告成功,协调节点向客户端报告成功。
存储原理

上面介绍了在ES内部索引的写处理流程,这个流程是在ES的内存中执行的,数据被分配到特定的分片和副本上之后,最终是存储到磁盘上的,这样在断电的时候就不会丢失数据。具体的存储路径可在配置文件 …/config/elasticsearch.yml中进行设置,默认存储在安装目录的data文件夹下。建议不要使用默认值,因为若ES进行了升级,则有可能导致数据全部丢失。

path.data: /path/to/data //索引数据

path.logs: /path/to/logs //日志记录

1.分段存储

索引文档以段的形式存储在磁盘上,何为段?索引文件被拆分为多个子文件,则每个子文件叫作段, 每一个段本身都是一个倒排索引,并且段具有不变性,一旦索引的数据被写入硬盘,就不可再修改。在底层采用了分段的存储模式,使它在读写时几乎完全避免了锁的出现,大大提升了读写性能。

段被写入到磁盘后会生成一个提交点,提交点是一个用来记录所有提交后段信息的文件。一个段一旦拥有了提交点,就说明这个段只有读的权限,失去了写的权限。相反,当段在内存中时,就只有写的权限,而不具备读数据的权限,意味着不能被检索。

段的概念提出主要是因为:在早期全文检索中为整个文档集合建立了一个很大的倒排索引,并将其写入磁盘中。如果索引有更新,就需要重新全量创建一个索引来替换原来的索引。这种方式在数据量很大时效率很低,并且由于创建一次索引的成本很高,所以对数据的更新不能过于频繁,也就不能保证时效性。

索引文件分段存储并且不可修改,那么新增、更新和删除如何处理呢?

新增,新增很好处理,由于数据是新的,所以只需要对当前文档新增一个段就可以了。
删除,由于不可修改,所以对于删除操作,不会把文档从旧的段中移除而是通过新增一个 .del文件,文件中会列出这些被删除文档的段信息。这个被标记删除的文档仍然可以被查询匹配到, 但它会在最终结果被返回前从结果集中移除。
更新,不能修改旧的段来进行反映文档的更新,其实更新相当于是删除和新增这两个动作组成

最低0.47元/天 解锁文章
weixin_35688430
关注
专栏目录
ElasticsearchElasticsearch日志场景最佳实践
九师兄
07-24 651
1.概述 转载:Day 12 - Elasticsearch日志场景最佳实践 相似文章:【ElasticsearchElasticsearch 最佳实践系列之分片恢复并发故障 Elasticsearch可广泛应用于日志分析、全文检索、结构化数据分析等多种场景,大幅度降低维护多套专用系统的成本,在开源社区非常受欢迎。然而Elasticsearch为满足多种不同的使用场景,底层组合使用了多种数据结构,部分数据结构对具体的用户使用场景可能是冗余的,从而导致默认情况下无法达到性能和成本最优化。 幸运的是,El.
08、es 进一步了解___d_机制原理_存储原理
炫炫的博客
02-16 503
上面介绍了在 ES 内部索引的写处理流程,这个流程是在 ES 的内存中执行的,数据被分配到特定的分片和副本上之后,最终是存储到磁盘上的,这样在断电的时候就不会丢失数据。 具体的存储路径可在配置文件 …/config/elasticsearch.yml 中进行设置,默认存储在安装目录的 Data 文件夹下。 建议不要使用默认值,因为若 ES 进行了升级,则有可能导致数据全部丢失: path.data...
Elasticsearch索引建议
波波的专栏
04-01 8564
最近在做日志收集,用到Elasticsearch作为存储层。有一些使用小贴士
PPT | 监控日志的黄金法则
京东科技开发者
04-23 217
监控日志的黄金法则》点击【阅读原文】了解更多相关信息哦~ ...
ElasticSearch实战:日志分析与搜索技巧解析
最新发布
silenceallat的博客
03-28 2186
本文深入探讨了ElasticSearch日志分析和搜索案例方面的应用,分享了实用的技巧和案例,包括索引日志数据、创建索引模板、使用Kibana进行数据分析等。同时,还介绍了ElasticSearch的进阶技巧,如查询优化、数据建模和使用监控和诊断工具。文章最后讨论了ElasticSearch的未来发展前景,包括更强大的机器学习功能、更好的云原生支持、增强的安全性和合规性以及优化的性能和扩展性。
监控日志loging elastIcsearch 安全(三)
鱼的博客
08-01 400
一、ElasticSearch未授权访问风险 1、ElasticSearch漏洞描述 默认情况下ElasticSearch如果开放了外网访问,用户是可以通过API直接操作ElasticSearch里的数据,甚至删除所有数据,这个漏洞风险极大。 可直接访问的API如下: http://x.x.x.x:9200/_cat/indices/ http://x.x.x.x :9200/_plugin/he...
监控日志loging elastIcsearch 部署(二)
鱼的博客
08-01 662
ELK日志系统介绍 开源实时日志分析ELK平台能够完美的解决我们上述的问题,ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成。官方网站:https://www.elastic.co/products Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等 Logstash是一个完全开源的工具,他可以对你的日志进行收集、过滤,并将其存储供以后使用(如,搜
监控日志loging elastIcsearch 原理(一)
鱼的博客
03-11 379
搜索引擎是对数据的检索,所以我们先从生活中的数据说起。 我们生活中的数据总体分为两种:结构化数据 和 非结构化数据。 结构化数据:也称作行数据,是由二维表结构来逻辑表达和实现的数据,严格地遵循数据格式与长度规范,主要通过关系型数据库进行存储和管理。指具有固定格式或有限长度的数据,如数据库,元数据等。 非结构化数据:又可称为全文数据,不定长或无固定格式,不适于由数据库二维表来表现,包括所有格式的办公...
监控日志loging elastIcsearch 操作(五)
鱼的博客
08-01 338
Elasticsearch的Java客户端非常强大;它可以建立一个嵌入式实例并在必要时运行管理任务。 运行一个Java应用程序和Elasticsearch时,有两种操作模式可供使用。该应用程序可在Elasticsearch集群中扮演更加主动或更加被动的角色。在更加主动的情况下(称为Node Client),应用程序实例将从集群接收请求,确定哪个节点应处理该请求,就像正常节点所做的一样。(应用程序甚至可以托管索引和处理请求。)另一种模式称为Transport Client,它将所有请求都转发到另一个Elast
日志监控方案和实践
07-27
日志监控方案和实践-Node.js-日志监控方案和实践-日志监控方案和实践
ES核心概念(第更)
weixin_42469135的博客
10-12 473
什么是倒排索引? 先来看张图片 图中的 name列的数据的id被es检索成一个索引文档,当需要查询name包含“小”的数据则会只检索es在1,2中查询,不会查询3,4 避免了资源浪费!同理 若想查询包含“白”的数据 则只需要检索id为3的数据,不再检索1,3,4! 其实这种倒排索引是lucene作用,而一个es索引一般有5个分片,每个分片都代表一个lucene索引(倒排索引)! 所以我们说的es索引其实是指多个lucene索引聚合后的结果! 总结一下es核心概念中最重要的三个点 1.索引(数据库) .
ElasticSearch 索引设计指南
过往记忆大数据
11-25 2905
作者介绍许睿哲2020年12月加入去哪儿网-数据平台团队,目前主要负责公司的 esaas 云服务与实时日志 ELK 平台的开发、维护与优化。主导参与了公司的 ES 架构升级迁移与 ES 平...
ElasticSearch从入门到放弃系列 九】Elasticsearch原理机制探索
MaoLin Tian's Blog
10-17 694
基础内容回顾 写索引原理 存储原理 分段存储 延迟写策略 段合并 性能优化
ES(Elasticsearch)日志类型
m0_54849806的博客
03-25 2755
每个软件应用为了方便排查运行时出现的问题或者一些做一些数据记录,都会提供相应的日志记录,Elasticsearch也不例外,Elasticsearch日志记录通过3类日志类型进行记录: **(1)主要日志(cluster-name.log)😗*记录了Elasticsearch运行时所发生一切的综合信息,例如,某个查询失败或一个新的节点加入集群 **(2)慢搜索日志(cluster-name_index_search_slowlog.log)😗*当某个查询运行得很慢时,Elasticsearch会在这里进行记
使用Kafka、Elasticsearch、Grafana搭建业务监控系统(一)技术选择
颤抖吧腿子
10-30 5383
背景 为了更好的对埋点数据进行可视化分析,项目组决定开发一套自己的监控系统 技术选择 Kafka or mq? Kafka是LinkedIn开源的分布式发布-订阅消息系统,目前归属于Apache定级项目。Kafka主要特点是基于Pull的模式来处理消息消费,追求高吞吐量,一开始的目的就是用于日志收集和传输。0.8版本开始支持复制,不支持事务,对消息的重复、丢失、错误没有严格要求,适合产生大量...
Elasticsearch-索引文档存储段合并机制(segment merge、policy、 optimize)
小城我家
11-24 1666
索引文档存储段合并机制(segment merge、policy、 optimize) 段合并机制 由于自动刷新流程每秒会创建一个新的段 ,这样会导致短时间内的段数量暴增。而段数目太多会带来较大的麻烦。 每一个段都会消耗文件句柄、内存和 CPU 运行周期。更重要的是,每个搜索请求都必须轮流检查每个段;所以段越多,搜索也就越慢。 Elasticsearch 通过在后台进行段合并来解决这个问题。小的段被合并到大的段,然后这些大的段再被合并到更大的段。段合并的时候会将那些旧的已删除文档 从文件系统中清除。 被删除
别说,Cerebro还真好用!老板再也不用担心ES集群了
程序猿DD
12-28 490
作者 |Elastic 中国社区官方博客来源 |https://blog.csdn.net/UbuntuTouch/article/details/104182454Cerebro ...
elasticsearch 日志抓取使用
weixin_34290390的博客
12-11 1885
[root@server5 elk]# rpm -ivh logstash-2.3.3-1.noarch.rpm [root@server5 logstash]# /opt/logstash/bin/logstash -e 'input {stdin { } } output { stdout { codec => rubydebug } }'Settings: Default pipel...
Elasticsearch 日志监控方案
cr7258的博客
08-16 3443
现在大部分公司都会选择将应用、中间件、系统等日志存储在 Elasticsearch 中,如何发现日志中的异常数据并且及时告警通知就显得十分重要。本文将会介绍两种主流的日志监控方案,分别是 Yelp 公司开源的 ElastAlert 和 Elastic 官方的商业版功能 Watcher。 如下图所示,日志数据源是一台 Nginx 服务器,在该服务器上安装 Filebeat 收集 Nginx 日志并输出到 Elasticsearch,之后会分别演示用 ElastAlert 和 Watcher 两种方案监控日志
用python写一个装饰器函数,用于记录方法或函数的日志日志必须有函数名及调用时间,日志存入loging.log文件中
03-24
好的,下面是我为您编写的装饰器函数python代码,用于记录方法或函数的日志,并将日志存入loging.log文件中: import logging from functools import wraps def logging_decorator(func): logging.basicConfig(filename='logging.log', level=logging.INFO) @wraps(func) def wrapper(*args, **kwargs): logging.info(f'Function {func.__name__} was called at {datetime.datetime.now()}') return func(*args, **kwargs) return wrapper @logging_decorator def example_function(): print('example function') # 测试用例 if __name__ == '__main__': example_function() 希望这个装饰器函数能够符合您的需要,如果有问题欢迎继续问我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值