Observability:和你的 AutoOps 聊聊

原创 于 2025-12-19 09:16:54 发布 · 686 阅读 · 21 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
文章标签:

#elasticsearch #大数据 #搜索引擎 #全文检索 #数据库

作者:来自 Elastic valVal Crettaz

AutoOps 通过实时收集、分析和关联数百个指标,帮助你诊断 Elasticsearch 集群中的问题,提供根因分析和准确的解决路径。每次检测到问题时,AutoOps 会记录并在时间轴上显示,就像下图所示。你可以轻松看到哪些问题经常出现,颜色表示问题的严重程度,颜色越深表示在特定时间范围内该类型事件发生的次数越多。

当你需要紧急解决问题且时间紧迫时,你可能需要一些帮助来确定从哪里开始调查以及重点关注什么。利用 Elastic AI,我们能够将上图中看到的离散级联事件关联成一个连贯的故事,直至识别根因及应采取的修复措施。

我们选择了 “以聊天为先” 的方式,将新发布的 Elastic Agent Builder 接入上述时间轴上的所有洞察数据。话不多说,我们开始与它聊天,下面是过程展示。

热身阶段

我们的首要目标是解决正在影响集群的当前问题,因此我们以如下方式开始对话:

在快速查看索引映射以确定如何查询洞察数据后,Elastic Agent Builder 创建了几个后续查询,以检索当前打开的高严重性问题,将它们按类型和频率分类,深入其上下文以了解涉及的节点或索引,检索与已识别节点和索引相关的其他洞察,最后阅读洞察描述,形成了如下所示的初步回答:

哇!!仅用 79 秒就处理了超过一万条事件,并将它们关联成我们能够理解的故事。现在让我们深入分析一下。

问题 #1:节点 instance-368 上的高搜索队列

查看第一个问题及受影响的索引,我们甚至不需要查看慢日志,因为我们知道问题与 Kibana 警报规则有关。我们可以很容易判断 Kibana 在执行这些规则时也遇到了困难,但规则太多,无法确定哪些有问题。因此,既然建议查看长时间运行的查询,而 AutoOps 可以捕获它们,那就找出是哪条查询导致这个问题吧:

几秒钟内,出现了如下 DSL 查询,我们能够轻松在 AutoOps 捕获的 X-Opaque-ID HTTP 头中找到警报规则的 ID(如下图红色标注部分)。

我们回到 Kibana,对查询做了些改进(例如,不需要检索 10000 条命中)。我们还调整了其调度频率,之前设置得过高,最终保存了该规则。几分钟后,我们就看到 instance-368 的搜索队列降至 0。完成 ✅

问题 #2:数据节点负载不平衡

接下来是什么?第二个问题不言自明。由于建议查看分片分配策略,通过快速查看 AutoOps 的分片视图,我们能够轻松定位三个高索引活动的索引,并在已识别的节点上发现一些索引热点。

由于这些索引只有三个主分片,全部分配到同一组节点上,且其增长速度超过预期,我们决定将分片数量加倍,因为有足够的热点节点来处理额外分片。随后,我们对相应的数据流进行了切换,热点消失。完成 ✅

问题 #3:数据冻结节点负载不平衡

为排查最后一个问题,我们再次利用 Elastic Agent Builder 帮助分析。我们基本上让它“自我验证”其建议,并要求它查找在已识别索引上运行的任何查询。显然还有改进空间,它本应自动应用自身建议来找出搜索流量的来源。但无论如何,我们继续询问,看看接下来发生了什么:

几秒钟后,它返回了一条运行了 158 分钟(>2 小时 30 分钟)的长时间查询,涉及所有 partial-.ds-synthetics-http-default* 索引。与上面的第一个问题类似,查看该查询我们发现它在处理三个月的数据(其中两个月的数据已进入冻结层),并试图聚合大量桶。

此外,X-Opaque-ID HTTP 头显示了查询来源的仪表板 ID——Global-Synthetics-Health(上图红色标注)。访问该仪表板后,我们发现它包含许多在相同数据视图上运行的 Lens 可视化。这种情况并不罕见,但仪表板保存的三个月时间范围并不适用,因为热层只保留一个月的数据。我们将时间范围改为最近 10 天,终止了长时间运行的查询,冻结层立即得到缓解。完成 ✅

总结

好,让我们回顾一下刚刚发生的事情:我们有一个紧急问题需要解决,决定利用 AutoOps,它会跟踪集群中所有最近检测到的事件。了解今天发生的问题往往可能由之前一个或多个问题引起,能够关联事件并理清它们的级联关系,对于理解根因并采取措施至关重要。在几分钟内,借助运行在 AutoOps 洞察数据之上的 Elastic Agent Builder,我们快速获得了集中关注点和处理方法的有力指导。现在我们的集群再次“呼吸”,多亏了 Elastic AI 驱动的 AutoOps 洞察!

当然,这还不完美,还有许多改进空间,但我们已经展示了如何利用 AI 将所有洞察关联为可执行建议,从而大幅加快集群恢复过程。敬请关注,我们将在不久的将来通过在 AutoOps 中引入 AI 助手来实现这一目标。

原文:https://discuss.elastic.co/t/dec-6th-2025-en-a-little-chat-with-your-autoops/383721

博客
Elastic 线下 Meetup 将于 2026 年 1 月 10 号下午在北京举行
11-24 1961
2026年ElasticMeetup北京站将于1月10日在腾讯北京总部举办。活动邀请Elastic、腾讯及新智锦绣专家分享前沿技术,包括Elasticsearch向量搜索与AI应用、MCP超级大脑在智能运维中的实践、腾讯云ES的AI能力建设,以及搜索范式从排序到过滤的转变等主题。现场提供茶歇交流机会,并有抽奖环节。报名需实名登记,成功报名后需联系工作人员获取访客码。活动详情及报名链接:https://elastic.huodongxing.com/event/5835577361800
博客
Elastic:如何成为一名 Elastic 认证工程师,Elastic 认证分析师及 Elastic 认证可观测性工程师
10-28 2万+
Elasticsearch 无疑是是目前世界上最为流行的大数据搜索引擎。根据 DB - Engines 的统计,Elasticsearch 雄踞排行榜第一名,并且市场还在不断地扩大:能够成为一名 Elastic 认证工程师也是很多开发者的梦想。这个代表了 Elastic 的最高认证,在业界也得到了很高的认知度。得到认证的工程师,必须除了具有丰富的 Elastic Stack 知识,而且必须有丰富的操作及有效的解决问题的能力。拥有这个认证证书,也代表了个人及公司的荣誉。针对个人的好处是,你可以..
博客
Elastic:开发者上手指南
02-25 16万+
你们好,我是Elastic的刘晓国。如果大家想开始学习Elastic的话,那么这里将是你理想的学习园地。在我的博客几乎涵盖了你想学习的许多方面。在这里,我来讲述一下作为一个菜鸟该如何阅读我的这些博客文章。我们可以按照如下的步骤来学习:1)Elasticsearch简介:对Elasticsearch做了一个简单的介绍2)Elasticsearch中的一些重要概念:cluster,n..........................................................
博客
Elastic:培训视频 - ​在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全
01-06 1万+
在这篇文章中,我将会把我写的有些内容录制成视频,供大家参考。希望对大家有所帮助。优酷的视频频道地址在这里。Elastic 简介及Elastic Stack 安装:优酷,腾讯 Elastic Stack docker 部署:优酷,腾讯 Elasticsearch中的一些重要概念(Cluster/Shards/Replica/Document/Type/Index):优酷,腾讯 开始使用El...............
博客
Elasticsearch 简介
08-08 17万+
Elasticsearch是一个非常强大的搜索引擎。它目前被广泛地使用于各个IT公司。Elasticsearch是由Elastic公司创建并开源维护的。它的开源代码位于https://github.com/elastic/elasticsearch。同时,Elastic公司也拥有Logstash及Kibana开源项目。这个三个开源项目组合在一起,就形成了 ELK软件栈。他们三个共同形成了一个强大的...
博客
Elasticsearch:构建一个 AI 驱动的电子邮件钓鱼检测
12-19 417
使用 n8n 和 Elastic Agent Builder 构建一个 AI 驱动的电子邮件钓鱼检测系统。钓鱼攻击仍然主导着网络安全威胁形势,攻击者越来越多地使用复杂的社会工程技术来绕过传统过滤器。作为一名使用 Elastic 技术的安全从业者,我构建了一个自动化的钓鱼检测与分析系统,将 n8n 工作流自动化与 Elastic 的 AI 驱动的 Agent Builder 相结合。本文将介绍该系统的架构、实现方式,以及对三个月内 44 封钓鱼邮件进行分析所获得的真实洞察。
博客
Kibana 数据可视化的新配色方案 —— 我们如何以及为什么创建它
12-19 533
Kibana数据可视化推出全新配色方案,作为设计系统视觉刷新的一部分。该方案基于Elastic品牌形象,在OKLCH色彩空间通过数学生成10种色调,包含5种基础色的深浅组合。新方案解决了旧系统无法支持复杂场景的问题,提升了一致性和可访问性(WCAG标准4.5:1对比度),同时优化了堆叠图表等场景的可读性。方案于2024年11月测试,2025年4月随Kibana9.0正式发布,为严重性等级等场景提供了统一处理标准。团队将持续迭代改进可视化体验。
博客
Elastic 在 AWS re:Invent:总结一年在 agentic AI 创新中的合作
12-19 555
Elastic 的能力(包括向量数据库和上下文工程)与 AWS 服务的集成,帮助客户更快、更灵活地构建智能、可扩展且安全的应用。我们持续的合作在 2025 年再次推动了与 AWS 的显著创新。本文重点介绍我们在 2025 年与 AWS 的持续合作,帮助你充分利用 AI 的力量。
博客
使用 LocalAI 和 Elasticsearch 构建本地 RAG 个人知识助手
12-19 978
本文介绍了如何利用Elasticsearch和LocalAI构建本地私有RAG(检索增强生成)系统。该系统使用e5-small模型生成嵌入,dolphin3.0-qwen2.5-0.5b模型进行文本生成,完全运行在中端笔记本上,无需云端服务。文章详细说明了系统配置步骤,包括Elasticsearch实例设置、模型选择比较、数据处理流程和性能测试结果。测试显示该系统能在17秒内完成查询响应,同时保持数据隐私和离线可用性。通过对比不同模型(如smollm2-1.7b-instruct和llama-smoltal
博客
Elasticsearch:你是说,用于混合搜索(hybrid search)
12-18 745
摘要:Elastic推出简化混合搜索体验的新功能,通过semantic_text字段和检索器实现文本与语义搜索的无缝结合。新功能支持开箱即用的语义搜索,提供RRF和linear等检索器简化得分组合,并引入ES|QL查询语言支持FORK/FUSE等高级操作。系统既提供默认设置也支持深度定制,让用户能根据查询特征智能选择搜索方式。目前该功能已在Elastic{ON}活动中展示,开发者可通过文档探索更多定制可能性。(149字)
博客
在 Kibana 中可视化你的 Bosch Smart Home 数据
12-18 423
摘要:shc2es工具可将Bosch智能家居控制器的本地API数据导入Elasticsearch,实现时间序列可视化。该工具通过长轮询获取温度、湿度等设备状态数据,转换为NDJSON格式后存入Elasticsearch,并预置Kibana仪表板展示房间温度变化等指标。安装配置简单,首次运行需配对控制器,支持OpenTelemetry集成监控。用户可自定义查询和可视化,轻松分析智能家居运行数据。(149字)
博客
通过 Elasticsearch 中的 function score query 按利润和受欢迎程度提升电商搜索效果
12-18 843
本文介绍了如何在Elasticsearch中使用function_score查询,将BM25文本相关性与业务指标(如利润率和产品受欢迎度)相结合,优化电商搜索排序。通过field_value_factor和ln1p对数缩放,实现了平滑可控的分数提升,同时保持结果的可解释性。文章提供了具体实现步骤、公式解释和参数调优建议,并比较了与rank_feature方法的差异,最终展示了如何构建兼顾用户需求和业务目标的智能搜索系统。
博客
Elasticsearch:在分析过程中对数字进行标准化
12-17 550
本文探讨了全文搜索中数字标准化处理的问题。针对不同地区数字格式差异(如1.4m和1,4m)、用户输入习惯(点号和逗号混用)以及前导/尾随零等问题,作者提出使用Elasticsearch的keep_types和pattern_replace等token过滤器构建分析链的解决方案。通过正则表达式统一数字格式、去除前导零和简化尾随零,实现了数字的标准化处理。文章还讨论了实际应用中可能遇到的特殊情况(如007与7的区分)和优化建议,强调需要根据具体场景调整处理逻辑。最后指出可通过condition过滤器确保仅对数字
博客
使用 Deepfreeze S3 Glacier 归档来降低 Elasticsearch frozen tier 成本
12-17 869
本文介绍了Elastic推出的Deepfreeze解决方案,帮助用户降低Elasticsearch历史数据的存储成本。通过自动化管理searchable snapshot存储库轮转,Deepfreeze可将已删除索引的数据保留在更便宜的S3 Glacier存储层,同时保持数据可访问性。该工具会定期创建新存储库、更新ILM策略、卸载旧存储库,并将数据自动转移到低成本存储。相比完全保留frozen索引,Deepfreeze可节省高达77%的存储成本,同时满足合规要求,并在需要时支持快速数据恢复。文章详细说明了工
博客
唯一屹立的厂商: Elastic 在 2025 AV-Comparatives 测试中的全面胜出
12-16 1025
Elastic Security在2025年AV-Comparatives商业安全测试中表现卓越,成为唯一在所有测试项目中实现100%防护率的厂商。该平台整合了SIEM、XDR和云安全功能,通过高级行为分析、机器学习模型和专家防护规则,有效抵御零日攻击和复杂威胁。测试结果显示,Elastic在真实环境防护和恶意软件防护测试中均保持完美防护率,优于Microsoft、CrowdStrike等竞争对手。其统一架构支持各类环境部署,提供扩展检测与响应能力,并通过AI驱动的AttackDiscovery功能关联分析
博客
开始使用 Elastic Agent Builder 和 Strands Agents SDK
12-16 962
本文介绍了如何使用ElasticAgentBuilder创建AI代理,并通过A2A协议在StrandsAgentsSDK中进行编排。主要内容包括:1)在Elasticsearch中创建索引并添加RPS+游戏数据;2)使用AgentBuilder创建自定义工具和游戏代理;3)通过StrandsAgentsSDK开发Python应用,实现更完善的游戏逻辑(隐藏代理选择直到玩家出招)。文章提供了详细的操作步骤,展示了如何将Elasticsearch数据与AI代理结合,以及如何使用StrandsAgentsSDK进
博客
亲爱的圣诞老人,这里有一点小小的帮助,献给圣诞节
12-15 671
摘要:圣诞老人采用Elasticsearch技术栈替代传统纸质档案,使用escli-rs命令行工具高效管理全球儿童礼物派送数据。该工具支持快速查询、脚本自动化、CSV导出和智能补全功能,帮助圣诞老人在飞行途中也能轻松查询乖巧名单和礼物偏好。通过.env配置安全连接后,精灵们成功将儿童数据批量导入Elasticsearch集群,使圣诞物流系统实现现代化升级。工具内置的--help功能让复杂的API操作变得简单,确保数十亿礼物准时送达。
博客
在 Google MCP Toolbox for Databases 中引入 Elasticsearch 支持
12-13 1150
本文介绍了Google MCP Toolbox新增的Elasticsearch支持功能,演示了如何通过ES|QL工具安全地将Elasticsearch索引与MCP客户端集成。文章详细说明了安装Elasticsearch实例和示例数据集的方法,并展示了如何配置MCP Toolbox连接到Elasticsearch进行自然语言查询。通过Gemini CLI等MCP客户端工具,用户可以轻松查询电商订单数据。该集成提供了轻量级工具定义和安全基础设施,为构建数据感知型AI应用提供了新可能。
博客
Streams 处理:告别 Grok 的困扰 - 在 Streams 中解析你的日志
12-12 1106
Elastic 9.2推出的Streams功能革新了日志解析体验,将复杂的数据处理转变为直观的UI操作。该功能支持AI自动生成Grok规则、实时模拟测试、条件处理等,能快速解决非结构化日志问题。用户无需离开Kibana即可完成解析规则的创建、测试和部署,特别适合处理混合数据流和遗留系统日志。Streams基于Elasticsearch ingest pipeline构建,既支持ECS也兼容OTel模式,是日志处理的"全能解决方案"。
博客
从数据到部署:推进美国州政府中 AI agent 的负责任使用
12-12 883
美国州政府正积极运用AI技术提升公共服务效率,AIagent成为继聊天机器人后的新焦点。弗吉尼亚州率先推出监管分析AI工具,展示创新应用前景。成功部署AI需三大支柱:高质量数据基础(目前仅23%州有数据治理计划)、系统互操作性和安全保障。工具如Elastic Agent Builder能帮助机构安全协作、自动化流程。专家建议通过公私合作模式,结合技术专业与政策监管,推动负责任AI发展。本文强调数据治理是AI应用的核心,良好数据实践将奠定可信AI基础,但提醒需注意第三方AI工具的数据安全风险。(149字)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值