0.2 Elasticsearch在 Elastic Stack 中的定位

最新推荐文章于 2025-12-11 02:08:10 发布
原创 最新推荐文章于 2025-12-11 02:08:10 发布 · 717 阅读 · 16 ·
CC 4.0 BY-SA版权
CC BY-NC-SA 3.0
文章标签:

#elasticsearch #jenkins #大数据

在这里插入图片描述
0.2 Elasticsearch 在 Elastic Stack 中的定位

如果把 Elastic Stack 比作一台分布式日志与搜索机器,那么 Elasticsearch 就是这台机器的“发动机 + 硬盘 + 索引器”三合一组件。它既负责把原始数据变成可检索的结构化信息,也负责把计算结果以毫秒级延迟返回给上游,同时还是整个集群状态的唯一持久化载体。换句话说,Elasticsearch 不只是一颗“搜索心脏”,更是 Elastic Stack 的元数据、配置、监控、告警、机器学习模型乃至 UI 状态的唯一真相源(Single Source of Truth)。

1. 数据平面:唯一可写端点

Beats、Logstash、APM Server、Kibana 的 Ingest Manager 最终都把数据推送到 Elasticsearch 的 _bulk API。整个 Stack 没有任何第二个组件能够持久化文档,因此 Elasticsearch 天然成为数据平面的“终点”。这种设计带来两个直接后果:

  • 背压统一:Logstash 的背压、Beats 的背压、Kafka 缓存的背压,最终都表现为 Elasticsearch 写入队列的堆积。只要监控 _cat/thread_pool/write?v,就能判断整个采集链路的健康度。
  • Schema 仲裁:Elasticsearch 通过 dynamic mapping 决定了字段类型,一旦字段类型固化,上游组件无法“反悔”。因此索引模板、component template、data stream 的配置权必须集中在 Elasticsearch 层,而不是 Logstash 或 Beats。

2. 控制平面:集群状态 = Stack 状态

Kibana 的 Stack Management、Security、Watcher、Transform、SLM、ILM 等子系统,全部把配置写进 .kibana*.security*.watches* 等系统索引。这意味着:

  • Kibana 自身无状态:重启 Kibana 节点时,只需重新加载 Elasticsearch 中的 Saved Object,无需本地恢复。
  • 多 Kibana 实例自动同步:所有 Kibana 实例共享同一份 .kibana 索引,因此不会出现配置漂移。
  • 备份即“全栈”备份:用 SLM 对 Elasticsearch 做一次 snapshot,等于把 Kibana 的仪表板、告警规则、机器学习作业、安全角色一并备份,恢复时零额外操作。

3. 查询平面:毫秒级网关

无论用户通过 Kibana 的 Discover、Lens、Dashboard,还是通过 APM UI、Uptime、Maps,甚至通过 Machine Learning 的 Anomaly Explorer,最终都被翻译成一组 Elasticsearch 查询:

  • 聚合入口:Kibana 的 Visualization 100% 依赖 Elasticsearch 的 Aggregation DSL;Lens 的公式函数只是 DSL 的语法糖。
  • 列存加速keywordnumericipgeo_point 等字段默认启用 doc_values,Kibana 的排序、透视表、地图热力图直接走列存,不打开 _source,因此即席查询可压到百毫秒级。
  • 跨集群搜索(CCS):Kibana 在 7.8+ 支持“跨集群仪表板”,其底层就是 Elasticsearch 的 cluster:* 远程别名机制,Kibana 本身不做二次合并。

4. 安全平面:单点登录与字段级授权

Elastic Stack 的认证链完全内置于 Elasticsearch:

  • Realm 链:Native、LDAP、AD、PKI、SAML、OIDC、Kerberos 依次尝试,成功即返回 _security/oauth2/token;Kibana 只是把这个 token 放进 Cookie。
  • 字段级安全(FLS)与文档级安全(DLS):在查询阶段由 Elasticsearch 的 SecurityServerInterceptor 直接重写 DSL,Kibana 无法绕过;因此哪怕用户通过 Dev Tools 手工发请求,也只能看到被授权的数据。
  • API Key 聚合:Beats、Logstash、Agent 使用的 API Key 实体保存在 .security 索引,支持在 Kibana 的“安全”界面一键吊销,生效时间 <1s。

5. 可观测性平面:Metrics + Logs + Traces 三栈合一

从 7.14 开始,Elastic Agent 把主机指标、日志、APM Trace 全部写入 data stream:

  • 统一 Schemametrics-*-*, logs-*-*, traces-*-* 都遵循 Elastic Common Schema (ECS),因此可以在 Kibana 的 Observability 一键切换“主机”、“日志”、“链路”、“用户体验”视图,而无需重新建索引。
  • 内置 ILM:Elasticsearch 提供 90 天 hot-warm-cold-frozen 策略,Kibana 的 Index Management UI 直接可视化每个 phase 的段大小、merge 次数、查询延迟。
  • Profiling 数据:Even-node Java Flight Recorder 数据以 profiling-* 写入 Elasticsearch,Kibana 的 Universal Profiling 利用 binary 字段 + constant_keyword 实现 10TB 级火焰图秒级跳转。

6. 机器学习平面:模型与结果同库

机器学习作业(Anomaly Detection、Data Frame Analytics、NLP 推理)把模型分片、状态、结果全部保存在 .ml-* 索引:

  • 模型分片:每个 detector 的 model_state 以 base64 存入 .ml-state-000001,实现节点故障时快速重分配。
  • 推理入口:NLP 的 trained_model 通过 _ml/trained_models/_infer 暴露,Kibana 的“机器学习”界面只是调该 API;因此任何第三方系统只要持有角色 machine_learning_admin 即可直接调用,无需经过 Kibana。
  • Security 继承:如果用户对索引 nginx-logs 无读权限,则即使他拥有 machine_learning_admin 角色,也无法在该索引上创建 datafeed,确保“看不到数据就建不了作业”。

7. 版本耦合边界:Elasticsearch 是“最慢变量”

Elastic Stack 的官方矩阵强制要求:
Kibana minor == Elasticsearch minor
Beats/Agent/Logstash minor >= Elasticsearch minor
这意味着:

  • 升级火车头:只要 Elasticsearch 版本升级,整个 Stack 必须跟着走;反过来,Kibana 或 Beats 可以热升级,但 Elasticsearch 不能降。
  • REST 兼容性:Elasticsearch 在 8.x 提供 ?compatible-with=7 参数,让 7.x 客户端无需修改即可接入,确保 Stack 组件平滑滚动。

8. 小结:把 Elasticsearch 当作“操作系统”

在 Elastic Stack 里,Elasticsearch 的角色已超越“搜索引擎”:

  • 它是分布式文件系统(快照仓库 + searchable snapshot)
  • 它是元数据存储(Kibana、Agent、Security、ML 配置)
  • 它是计算引擎(聚合、SQL、ES|QL、ML 推理)
  • 它是网关(SQL JDBC、ODBC、CCS、Async Search)

因此,规划 Elastic Stack 时,先把 Elasticsearch 当作“操作系统”去设计:

  1. 用 data stream + ILM 把“索引即文件”理念落地;
  2. 用角色 + API Key 把“权限即内核能力”落地;
  3. 用 snapshot + SLM 把“备份即系统镜像”落地;
  4. 用 dedicated master、dedicated data、dedicated ml 节点把“进程隔离”落地。

只要 Elasticsearch 层足够健壮,Kibana 和其他组件就可以像用户态程序一样随时重启、横向扩展、甚至短暂下线,而整个 Stack 的数据和配置不会出现任何单点失效。
更多技术文章见公众号: 大城市小农民

ES查询客户端,elasticsearch可视化工具 elasticsearch查询客户端
06-20
**Elasticsearch查询客户端与可视化工具** Elasticsearch(简称ES)是一款强大的开源搜索引擎,广泛应用于数据检索、分析...正确选择和使用这些工具,能帮助开发者更好地管理和利用存储在Elasticsearch中的海量数据。
精选资源
elasticsearch windows 7.10.0 解压安装包
01-10
Elasticsearch 是位于 Elastic Stack 核心的分布式搜索和分析引擎。Logstash 和 Beats 有助于收集、聚合和丰富您的数据并将其存储在 Elasticsearch 中。Kibana 使您能够以交互方式探索、可视化和分享对数据的见解,...
Elastic Stack简介与Elastic Search集群安装
zxnbmk的博客
04-20 917
ElasticSearch是一个基于Lucene1的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。官方客户端在Java、.NET(C#)、PHP、Python、Apache Groovy、Ruby和许多其他语言中都是可用的。Elasticsearch 使用的是标准的 RESTful 风格的 API 和 JSON。
ElasticSearch深入解析(一):Elastic Stack全景
TracyCoder的博客
04-22 1283
Elastic数据平台在和等场景中的应用颇具亮点。APM(Application Performance Management,应用性能管理)是一种用于监控和管理软件应用程序性能与可用性的技术框架,旨在帮助企业确保应用程序高效运行、快速定位性能瓶颈,并优化用户体验。Elastic公司经过两年精心研发,推出了一个全新特性ESRE(Elasticsearch Relevance Engine,最早发布于Elasticsearch 8.8版本)​。它是一款基于AI的搜索引擎,实现开箱即用的卓越语义搜索。
Elastic:Fluentd 在 Elastic Stack 中的运用
Elastic 中国社区官方博客
12-06 2720
在我之前的文章 “Elastic:使用 Fluentd 及 Elastic Stack 进行应用日志采集”,我详细地介绍了如何使用 Elastic Stack 及 Fluentd 来收集一个 nodejs 服务器的日志信息。在今天的文章中,我将详细地介绍如何使用 Docker 来部署 Elastic Stack 及 Fluentd。在我们的设计中,我们把 Fluentd 作为一个日志收集器,并最终把所有的日志写入到 Elasticsearch 中。我们的设计框图如下: 如上图所示,我们将使用 Dock
Elasticsearch:在 Elastic Stack 8.0 中引入近似最近邻搜索
Elastic 中国社区官方博客
03-28 1944
低维向量上的 kNN 有完善的数据结构,如 KD 树。事实上,Elasticsearch 结合了 KD 树来支持对地理空间和数字数据的搜索。但现代文本和图像嵌入模型通常会生成 100 - 1000 个元素或更多元素的高维向量。这些向量表示提出了一个独特的挑战,因为很难有效地找到高维度的最近邻居。面对这种困难,最近邻算法通常会牺牲完美的精度来提高速度。这些近似最近邻 (ANN) 算法可能并不总是返回真正的 k 个最近向量。但它们运行高效,在保持良好性能的同时扩展到大型数据集。
Elasticsearch:从 Elastic Stack 中的时间戳谈开去
Elastic 中国社区官方博客
08-11 2979
时间戳,也就是 timestamp, 它在许多的事件中,特别是时序数据中是一个不可少的字段。它记录事件或文档的时间。在我们对数据可视化时,也是非常重要的一个字段。针对时序时间,在我们对数据创建 index patterns 或者 date views 时,我们需要选择时间戳的字段。...
单机部署ES(Elastic Stack)
m0_59941984的博客
10-25 792
root@elk91 ~]# yy /etc/elasticsearch/elasticsearch.yml #查询除了#行,除了空格的行,也就是刚刚所配置的行。[root@elk91 ~]# ss -ntl | egrep "9200|9300" #查看端口是否开启。[root@elk91 ~]# curl 10.0.0.91:9200/_cat/nodes #查询节点。达到此步骤就已经安装成功了!3.添加别名(可选操作)4.修改ES的配置文件。# 指定监听的IP地址。# 指定监听的端口号。
ElasticsearchElastic Stack对比
AI天才研究院
01-18 1182
1.背景介绍 Elasticsearch是一个开源的搜索和分析引擎,它基于Lucene库构建,具有高性能、可扩展性和实时性。Elastic StackElasticsearch的上层组件,它包括Kibana、Logstash和Beats等多个模块,用于数据收集、可视化和监控。在本文中,我们将对ElasticsearchElastic Stack进行详细对比,揭示它们之间的关系和联系。 2....
Elasticsearch:如何在 Docker 容器中安装 Elastic Stack
Elastic 中国社区官方博客
12-02 3673
在之前的文章 “Elastic:用 Docker 部署 Elastic Stack” 中,我详述了如何使用 Docker 部署 Elastic Stack。我也在之前的文章 “Elastic:如何在 AWS 上一步一步地安装 Elastic Stack” 讲述了如何在 Ubuntu OS 中安装 Elastic Stack。在今天的文章中,我想在 Ubuntu OS 系统的机器上一步一步地安装 Docker,并进而把 Elastic Stack 运行于 Docker 容器中。对于还没有 Ubuntu OS
Elastic Stack简介和Elasticsearch基本介绍
yfy的博客
06-04 3665
1. Elastic Stack简介 1.1简介 ELK是一个免费开源的日志分析架构技术栈总称,官网https://www.elastic.co/cn。包含三大基础组件,分别是Elasticsearch、Logstash、Kibana。但实际上ELK不仅仅适用于日志分析,它还可以支持其它任何数据搜索、分析和收集的场景,日志分析和收集只是更具有代表性。并非唯一性。下面是ELK架构: 随着elk的发展,又有新成员Beats、elastic cloud的加入,所以就形成了Elastic Stack.
elastic-stack:以简单的方式学习 Elasticsearch、Logstash、Kibana 和 Beats
05-31
4. **Kibana**:Kibana是Elastic Stack的数据可视化组件,用户可以通过它对存储在Elasticsearch中的数据进行探索和可视化。Kibana的搜索功能可以让用户快速查找特定信息,创建视图则允许定制化的数据展示。而我们的...
精选资源
elasticsearch 8.11.3 windows安装包
01-10
Elasticsearch 是位于 Elastic Stack 核心的分布式搜索和分析引擎。Logstash 和 Beats 有助于收集、聚合和丰富您的数据并将其存储在 Elasticsearch 中。Kibana 使您能够以交互方式探索、可视化和分享对数据的见解,...
精选资源
ElasticStack(ELK)从入门到实践.pdf
06-11
ElasticSearch中的文档是存储在索引中的JSON对象,可以包含任何结构化或非结构化数据。Elasticsearch对数据的搜索支持两种方式:DSL(Domain Specific Language)搜索和全文搜索。DSL搜索利用JSON格式的查询语言进行...
Allegro X PCB设计小诀窍系列--30.如何在Allegro X中快速删除Dangling Lines?
Xinqiaoe_的博客
12-09 299
在PCB设计过程中,工程师在完成布局布线和设计修改后,通常会遗留一些未连接到任何网络或元件的悬空走线段(Dangling Lines)。这些悬空线段不仅影响设计图纸的整洁性,还可能在线路板制造时产生多余的铜线,引起短路风险,并干扰设计规则检查(DRC)的准确性,增加后期调试与生产的隐患。为此,Allegro X PCB设计工具提供了便捷的快速清理悬空线段功能。
Es索引文档全量更新与迁移
NoviceZ的博客
12-09 357
迁移完成后,校验数据完整性,校验通过后可删除旧索引(如果不需要新索引名称与旧索引名称一致,可不用删除)旧索引删除后,可为新索引创建和旧索引名称一致的别名,后续就可以继续使用旧索引名称进行相关操作。经过测试,方案1的耗时较长(2小时左右),方案2耗时20分钟左右,所以采用方案2进行处理。执行完全量迁移脚本后,可使用下方脚本继续迁移增量数据(在执行全量迁移命令后产生的数据)。2、新建索引并进行全量迁移,迁移时更新新增字段的初始值。执行上述命令后,会返回任务id,可根据返回的任务id查询迁移的进度。
ESM (ES Modules) 和 CJS (CommonJS)
最新发布
Irene1991的博客
12-11 635
ESM和CJS是JavaScript的两种模块系统。ESM是ES6引入的现代标准,采用静态编译时加载,支持TreeShaking;CJS是Node.js传统方式,采用动态运行时加载。ESM语法为import/export,CJS为require()/module.exports。新项目推荐ESM,维护旧项目可使用CJS。两者可互相调用:ESM通过createRequire调用CJS,CJS通过动态import()调用ESM。配置时需注意文件扩展名和package.json的type字段声明。ESM代表Jav
Spring Boot + Easy-ES 3.0 + Easyearch 实战:从 CRUD 到“避坑”指南
铭毅天下Elasticsearch
12-09 891
Easy-ES 3.0.0 虽然简化了配置,但对 ES 客户端版本的兼容性依然有要求。(简称 EE)作为 ES 界的“MyBatis-Plus”,凭借其强大的 ORM 能力和简洁的 API,正在成为许多 Java 开发者的首选。:Windows 终端默认 GBK,而 Maven 和 Java 都在用 UTF-8,编码不一致导致“鸡同鸭讲”。:Windows PowerShell 下跑 Maven 测试,日志里的中文全是乱码,根本看不懂报错信息。代码写完了,一运行测试用例,往往才是噩梦的开始。
快速Git教程
charlie114514191的博客
12-09 785
这篇Git教程介绍了版本控制的基本概念和常用Git命令。主要内容包括:1) Git初始化配置(用户名/邮箱设置);2) Git工作原理(工作目录、暂存区、本地仓库);3) 基础操作(创建仓库、查看状态、提交代码);4) 远程交互(克隆、推送、拉取);5) 分支管理(创建、切换、合并);6) 冲突解决;7) 恢复与回退;8) 暂存工作区修改。教程强调Git在团队协作中的重要性,建议保持master分支稳定,为每个功能创建独立分支开发,通过Pull Request进行代码审查后合并。
ElasticStack在Haystack中的配置优化与ElasticSearch集成
ElasticSearch作为核心组件,提供了全文搜索和分析的能力,而elasticstack则在此基础上增加了可配置索引和其他功能,使得开发者能够更加灵活地定制和优化搜索解决方案。" 知识点详细说明: 1. ElasticStack介绍: ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乔丹搞IT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值