elasticsearch遇到的问题(二) 慢查询的可能原因

最新推荐文章于 2025-10-12 23:25:44 发布
原创 最新推荐文章于 2025-10-12 23:25:44 发布 · 6.3k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Elasticsearch集群慢查询的诊断方法与优化策略,包括调整shards大小、优化term查询、改进聚合查询等多个方面。

1、首先确定集群的健康

1)_cat/health?v

2)检查集群健康的cpu ,io,内存,磁盘等指标是否都正常

2、慢查询可能的原因(case by case)

2.1 shards大小不合理

遇到这么一个案例:

1、客户反馈es集群存在很多慢查询,检查发现都是term查询,而且进行了sort排序,但是size是top 15,这样的查询不至于一直报慢查询。

2、继续检查日志,发现所有慢查询都是一个索引报的,也就是其他的索引的查询都是正常的

3、定位到索引后,_cat/shards/index_name?v  。五个分片一个副本,shards的store:58G。大小不合理,导致慢查询,建议reindex索引,增加分片数。删除旧索引,给新索引建以旧索引名称为名的别名。

tips:reindex期间,索引仍能都能写,reindex启动的那一刹会定格一个快照,所以建议reindex期间,建议停止索引的写入。避免新旧索引数据不一。

reindex会对源索引的有一定的io开销,相当读取源索引的所有数据再写入到新的索引中,建议尽量在业务低峰期做操作。

2.2 term的字段是数值类型,查询字段非常庞大

数值型byte、short、integer、long做term查询构造docid集合的bitset很费时

如果数值字段没有range需求,改为或者再插入一个keyword类型字段https://elasticsearch.cn/article/446, 如果是cardinality聚合&高基数,可以写入时提前prehash(https://www.elastic.co/guide/en/elasticsearch/reference/current/search-aggregations-metrics-cardinality-aggregation.html#_pre_computed_hashes)

PS:是否逻辑 的byte字段建议直接用boolean,不过byte类型的额外好处是如果需要true/ false之外的第三种状态,扩展更方便;如果继续使用byte类型,参考: 数值字段(long/ integer)没有range和agg聚合需求,改为或者再插入一个keyword类型字段

按照:https://elasticsearch.cn/article/446

2.3 prefix、wildcard、regexp

通配符和正则表达式、模糊查询,需要遍历倒排索引中的词条列表来找到所有的匹配词条,然后逐个词条地收集对应的文档id

慢日志出现prefix、wildcard、regexp避免使用左通配这样的模式匹配(如: *foo 或 .*foo 这样的正则式;对于部分输入即提示的应用场景,可以考虑优先使用completion suggester, phrase/term suggeter一类性能更好,模糊程度略差的方式查询(https://elasticsearch.cn/article/171);考虑用ngram tokenizer替代(https://www.elastic.co/guide/en/elasticsearch/reference/6.7/analysis-ngram-tokenizer.html#analysis-ngram-tokenizer) 和 (https://wjw465150.github.io/Elasticsearch/3_2_DeepSearch.html#%E8%B6%8A%E8%BF%91%E8%B6%8A%E5%A5%BD)

2.4 agg聚合查询

agg,聚合文档多,多重聚合、条件复杂,深度翻页,from和size很大

优化聚合, 查看collect mode 、execution hint和Minimum document count小结  https://www.elastic.co/guide/en/elasticsearch/reference/current/search-aggregations-bucket-terms-aggregation.html

2.5 from和size大于10000

深翻页,需要对每个shard的返回的数据整合取top,总条数是shards* (from+size),非常消耗cpu和内存

用 scroll或search_after替代(http://doc.codingdict.com/elasticsearch/109/, http://doc.codingdict.com/elasticsearch/117/)

2.6 script,此外hot_thread显示消耗在script上

script,脚本性能相对低些.

避免使用脚本计算动态字段,建议在索引时计算并在文档中添加该字段;避免进行复杂的计算

2.7 nested, mapping中也有nested

nested查询, 对doc的每一个nested field都会生成一个独立的document, 这将使doc数量剧增,影响查询效率。

2.8 has_child或has_parent, mapping中也有_parent

parent-child查询,适合适合于父文档少、子文档多的情况,比nested慢5到10倍(https://www.elastic.co/guide/cn/elasticsearch/guide/current/parent-child-performance.html

ps:抄自大佬的文章,我自己也是没有吃透的。mark一下

Elasticsearches 各种 日志 慢日志 慢查询
九师兄
10-21 5249
文章目录1.概述1.1 Elasticsearch日志列表1.2 日志级别1.3 日志格式2.慢日志2.2 慢日志全局级别设定3.根治慢查询3.1 慢查询六大症状3.1.1 症状1:非活动(检索/写入)状态资源利用率也非常高3.1.2 症状2:线程池存在大量rejected3.1.3 症状3:高CPU和索引化延迟3.1.4 症状4:副本增加后延时增大3.1.5 症状5:共享硬件资源时的高资源利用率。3.1.6 症状6:聚合N唯一值引起的高内存使用率M.扩展阅读 1.概述 日志存储路径: 运行日志:
Elasticsearch系列】elasticsearch wildcard 慢查询原因分析(深入到源码!!!)
我活在当下,我巨他妈勇敢。
09-05 1229
大家好,我是蓝胖子,前段时间线上elasticsearch集群遇到次wildcard产生的性能问题elasticsearch wildcard 一直是容易引发elasticsearch 容易宕机的一个风险点, 但究竟它为何消耗cpu呢?又该如何理解elasticsearch profile api的返回结果呢?在探索了部分源码后,我将在这篇文章一一揭晓答案。
Elasticsearch】优秀实践-你的ES怎么查的慢了?
wudingmei1023
01-08 5918
前言 经常会有人吐槽,Elasticsearch为什么查着查着突然就慢了? 笔者总结了常见的一些导致查询慢的场景,供大家排查。 go go go Elasticsearch查询问题排查思路 Elasticsearch查询慢的问题往往是由种因素造成的,同时我们也需要遵循Elasticsearch查询准则:ES适合top N的查询,不适合大数据量返回的查询。 场景1 内存参数配置不合...
为什么Elasticsearch查询变得这么慢了?
hellozhxy的博客
08-02 2407
让index压力分摊至个节点:可通过index.routing.allocation.totalshardsper_node参数,强制限定一个节点上该index的shard数量,让shard尽量分配到不同节点上 综合考虑整个index的shard数量,如果shard数量(不包括副本)超过50个,就很可能引发拒绝率上升的问题,此时可考虑把该index拆分为个独立的index,分摊数据量,同时配合routing使用,降低每个查询需要访问的shard数量。通常,当您使用搜索引擎时,您需要最准确的结果。
Elasticsearch查询慢?一线实战性能优化技巧全揭秘!。
最新发布
iMP_ujwv的博客
10-12 447
分片数量应根据数据规模动态调整,建议单个分片体积控制在30-50GB。分片数量应根据数据规模动态调整,建议单个分片体积控制在30-50GB。查询缓慢通常源于索引设计不合理、查询语句未优化或硬件资源不足。合理设置映射字段类型可显著提升查询效率。查询缓慢通常源于索引设计不合理、查询语句未优化或硬件资源不足。阶段耗时占比超过70%,说明需要优化查询逻辑;阶段耗时占比超过70%,说明需要优化查询逻辑;阶段耗时高,则需检查文档体积或网络延迟。阶段耗时高,则需检查文档体积或网络延迟。会显示各阶段耗时,重点关注。
elasticsearch 查询_Elasticsearch高级调优方法论-搞定慢查询
weixin_39854951的博客
11-30 772
前言elasticsearch提供了非常灵活的搜索条件给我们使用,在使用复杂表达式的同时,如果使用不当,可能也会为我们带来了潜在的风险,因为影响查询性能的因素很,这篇笔记主要记录一下慢查询可能原因,及其优化的方向。本文讨论的es版本为7.0+。慢查询现象查询服务超时最直观的现象就是提供查询的服务响应超时。大量连接被拒绝我们有时候写查询,为了图方遍,经常使用通配符*来查询,这有可能会匹配到...
Elasticsearch的TermsQuery慢查询分析和优化
hellozhxy的博客
08-02 3277
本篇文章主要记录业务上的一个TermsQuery优化和分析的过程和一些思考。在使用ES的时候,经常会遇到慢查询,这时候可以利用profile进行分析,当利用profile也查看不出什么端倪时候,可以尝试通过阅读代码查看查询为什么这么慢。如下是一个我们内部业务的一个慢查询,经常出现4s左右的延时,一模一样的查询,但是延时不一样,且很难复现。
Elasticsearch日志配置--性能调优之慢查询日志
顾丽江的专栏
04-08 2406
es里面的操作,主要分为两种,一种写入(增删改),另一种是查询(搜索) 我们分别要识别出来,哪些写入操作性能比较慢,哪些查询操作性能比较慢,先要识别出来有性能问题的这些慢查询,慢写入,然后才能去考虑如何优化写入的性能,如何优化搜索的性能 搜索慢查询日志 无论是慢查询日志,还是慢写入日志,都是针对shard级别的,因为大家应该知道,无论你是执行增删改,还是执行搜索,都是对某个数据执行写入或者是搜索,其实都是到某个shard上面去执行的 shard上面执行的慢的写入或者是搜索,都会记录在针对这个shar
elasticsearch的镜像,外网下载太慢了!
11-02
elasticsearch的镜像
MySQL 慢查询日志导入 Elasticsearch 可视化查询分析
qhh0205
10-24 3413
当应用程序后台 SQL 查询慢的时候我们一般第一时间会查看数据库慢查询记录,但是慢查询记录是原始文本,直接查询搜索分析比较费时费力,虽然业界有针对 MySQL 慢查询分析的命令行工具(比如:pt-query-digest),但是使用起来还是不够方便,而且分析结果也是针对整个实例的大概统计,不能及时定位到某个应用(库.表)的慢查询。出于这个目的我们可以将 MySQL 原始慢查询日志结构化导入 Ela...
elasticsearch慢查询监控优化策略
qq_28429443的博客
07-23 3635
监控目标 1. 在elasticsearch配置文件上添加慢查询日志和慢索引配置 2. 使用kibana监测elasticsearch慢查询日志的生成,使用logstash抽取日志的方式,有慢查询日志生成,就以邮件告警的方式提醒。 3. 使用zabbix分别监控集群的状态、CPU、进程数、磁盘读写性能、JVM使用。同时还要监控elasticsearch中分片的状态。达到某个临界值,就以...
ES 查询比较慢的原因排查并查看ES节点状态
ajax_beijing_java的博客
09-05 4039
如果数据量过大,每次查询时需要进行大量的遍历和计算,会导致查询时间变长。可以通过对索引进行优化,如添加合适的字段映射,减少不必要的字段存储来缩短查询时间。如果索引设计不合理,也会导致查询时间变长。可以通过检查分片和副本配置、合理设置Mapping和Analazer等方式来优化索引设计。如果硬件资源不足,如CPU、内存、磁盘I/O等方面,也会影响查询性能。可以通过增加硬件资源、调整集群配置等方式来提高查询性能。如果使用的ES版本过低,可能存在一些性能问题和bug,建议升级到最新版本或稳定版本。
ES查询
fox_233的博客
09-27 856
ES查询性能低优化
高级调优:查找并修复 Elasticsearch 慢查询
Angus
12-17 2607
Elasticsearch 是一个非常灵活且功能丰富的应用程序,它提供了许不同的数据查询方法。但是,您是否遇到过查询速度低于预期的情况?对于像 Elasticsearch 这样的分布式系统,可能会有各种影响查询性能的因素,包括负载平衡器设置、网络延迟(带宽、网卡/驱动程序)等在内的各种外部因素。在本篇博文中,我将讨论导致慢查询原因,以及如何在 Elasticsearch 的上下文中识别它们。
ElasticSearch(3) - 慢查询优化思路
weixin_43367242的博客
09-04 2541
ES慢查询可能会导致性能瓶颈,影响系统的响应时间和用户体验。要优化 ES 查询性能,可以从查询语句和表结构两个方面入。从优化角度,可以优化查询类型、合理使用fliter、限制字段返回等都是有效的方法。从优化角度,选择合适的字段类型、合理设置索引、优化分片和副本设置等也是提高性能的关键。
查询太慢?看看ES是如何把索引的性能压榨到极致的!
xingduan5153的博客
12-17 668
欢迎关注专栏:Java架构技术进阶。里面有大量batj面试题集锦,还有各种技术分享,如有好文章也欢迎投稿哦。 上一篇文章简单地介绍过了ES的相关概念,还没看的同学快去复习下: ES是什么?看完这篇就不要再问这种低级问题了!文章的最后提到了倒排索引,不知道有没有勾起大家的好奇心,ES的索引是怎么做,为什么他会被广泛地叫做搜索引擎而不是数据库?根源在它的索引,所以这一篇带你一探究竟...
ES慢查询分析——性能提升6 倍
Angus
12-26 4245
生产环境频繁报警。查询跨度91天的数据,请求耗时已经来到了30+s。报警的阈值为5s。经过问题排查,提供了优化方案。最后请求时间降到5s内。
减少内存启动elasticsearch可能会遇到哪些问题
08-25
<think>嗯,用户问的是Elasticsearch启动时减少内存可能遇到的问题。看来用户对ES的内存管理有一定了解,但可能在实际操作中遇到了困难。从用户引用的资料来看,ta已经知道ES是Java应用,内存管理很重要,但想了解具体减少内存后的风险。 用户可能正在尝试优化ES集群的资源使用,或者想在资源有限的环境(比如开发机)运行ES。ta的深层需求应该是“如何在保证基本可用的前提下最小化内存占用”。不过从专业角度看,盲目减少内存很危险,需要帮ta分析清楚利弊。 结合引用内容,ES内存问题主要涉及几个层面:JVM堆内存(引用3)、缓存机制(引用2)、熔断器(引用2)和底层Lucene(引用3)。用户提到的“减少启动内存”应该是指调低-Xms参数,但实际影响会波及整个内存体系。 最直接的三个风险点:一是OOM崩溃,因为-Xmx可能设得太低;是频繁GC导致性能雪崩;三是缓存失效引发磁盘IO飙升。特别是引用2提到的fielddata缓存,如果堆内存不足,ES会不断驱逐缓存,聚合排序操作就会变慢。 另外用户没提到但很重要的一点:内存过小会触发熔断器(引用2),导致查询被拒绝。这在生产环境是灾难性的。还有segment合并(引用2)也需要足够内存缓冲,否则会拖累写入速度。 建议从实际场景出发:如果是本地开发,可以适当减内存,但要监控GC日志;如果是生产环境,绝对不要牺牲内存稳定性。引用1强调的“合理配置、监控和优化”正是关键——减少内存的前提是做好监控和评估。 最后要提醒用户,ES 7.0后新增的堆外内存机制(如Frozen Index)对低内存配置更友好,但仍有硬性限制。与其盲目减内存,不如优化索引设计(比如避免引用4提到的自定义ID问题)。</think>以下是Elasticsearch启动时减少内存配置(`-Xms`/`-Xmx`)可能引发的问题及技术解析,结合引用内容分析: --- ### **核心问题与风险** #### 1. **频繁GC导致性能崩溃** - **机制**: 堆内存过小 → 对象分配空间不足 → JVM频繁触发Full GC(尤其是老年代GC) ```mermaid graph LR A[内存不足] --> B[频繁Full GC] B --> C[GC停顿时间激增] C --> D[节点响应延迟] D --> E[集群稳定性下降] ``` - **引用支持**: > "ES是JAVA应用,就离不开JVM和GC" [^3]。 > 堆内存不足时,GC线程会抢占CPU资源,导致查询/索引吞吐量骤降。 #### 2. **缓存失效引发磁盘I/O飙升** - **关键缓存影响**: | **缓存类型** | **内存不足时的行为** | **后果** | |--------------------|-------------------------------|---------------------------| | **Fielddata Cache** | 被迫频繁驱逐数据 (LRU机制) | 聚合/排序操作变慢10-100倍 | | **Query Cache** | 缓存命中率下降 | 重复查询响应延迟增加 | | **OS Filesystem Cache** | Lucene索引文件无法缓存到内存 | 磁盘I/O成为性能瓶颈 | - **引用支持**: > "field data缓存需要占用内存...占用过的内存资源" [^2]。 > 当`indices.fielddata.cache.size`因堆内存不足而缩小时,高频聚合操作会直接访问磁盘。 #### 3. **熔断器触发服务拒绝** - **熔断机制**: ```bash indices.breaker.fielddata.limit # Fielddata熔断阈值 (默认堆的40%) indices.breaker.total.limit # 总内存熔断阈值 (默认堆的70%) ``` - **风险场景**: 若堆内存过小,单个复杂聚合查询即可触发熔断 → 节点拒绝新请求 → 客户端报`CircuitBreakingException` - **引用支持**: > "当内存使用超过一定阈值时,会拒绝新的请求来保护系统稳定性" [^2]。 #### 4. **数据丢失与分片未分配** - **关键风险**: - 内存不足导致JVM崩溃 → 未刷新的数据丢失(即使`translog`存在) - 节点重启后因资源不足无法分配分片 → 集群长期处于`YELLOW`状态 - **示例日志**: ```log [WARN] [o.e.c.r.a.AllocationService] Cluster health status changed to [YELLOW] reason: [shards failed [[index-1][0]]... not enough memory to allocate shard] ``` --- ### **优化建议(平衡内存与稳定性)** #### 1. **最低内存配置原则** - **生产环境**: $$ \text{堆内存最小值} = \max(\text{数据总量} \times 15\%, 4\text{GB}) $$ 例如:100GB数据的集群 → 至少分配15GB堆内存 - **开发/测试环境**: 可设`-Xms1g -Xmx1g`,但需关闭副本: ```bash curl -XPUT 'localhost:9200/_settings' -H 'Content-Type: application/json' -d' {"index.number_of_replicas": 0} ``` #### 2. **关键参数调优** | **参数** | **低内存环境建议值** | **作用** | |----------------------------------|----------------------------|---------------------------| | `indices.fielddata.cache.size` | 10% (e.g. `10%` if heap=2g) | 限制Fielddata缓存上限 | | `indices.queries.cache.size` | 100MB | 控制查询缓存 | | `bootstrap.memory_lock` | `true` | 避免Swap挪用JVM内存 | #### 3. **资源监控与告警** ```bash # 监控关键指标 GET _nodes/stats/jvm,indices?filter_path=nodes.*.jvm.mem.heap_used_percent,nodes.*.indices.fielddata.memory_size ``` - **告警阈值**: - `heap_used_percent > 75%` → 触发扩容评估 - `fielddata.evictions > 100/s` → 需优化聚合查询或扩容 --- ### **总结:减少内存的取舍** > "通过合理的配置、监控和优化,可以有效地管理和排除内存故障" [^1],但需遵循: > 1. **堆内存不得低于4GB**(生产环境),否则GC和熔断风险剧增 > 2. 优先优化**索引设计**(如避免[自定义ID导致的性能损耗](^4)) > 3. 监控**Fielddata驱逐率**和**GC停顿时间**,早于OOM发现问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值