elasticsearch那几个坑

最新推荐文章于 2024-04-17 04:36:57 发布
原创 最新推荐文章于 2024-04-17 04:36:57 发布 · 4.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

公司有若干的nginx日志,打算用elastic search实现对实践间隔nginx请求量的统计,实现对各种常用指标的检索。

大坑1:

有三台同配置的es,但总有一台异常退出。经过对该服务器的内存使用情况进行分析,发现,是有进程占用内存,导致es的内存OOM。

大坑2:

es需要用logstash读取nginx日志进行解析,但如何书写规则,特别是自定义的nginx日志规则。

建议用如下网站进行日志的匹配规则编写。

http://grokdebug.herokuapp.com/

我根据我们日志编写了如下规则,可以参考。

input {
	
filter {
	grok {
            match =>{"message" =>"\"%{IP:remote_addr}\" \"%{IPORHOST:upstream_addr}:%{POSINT:port}\" \"\[%{HTTPDATE:time_local}\]\" \
"%{BASE16FLOAT:request_time}\" \"%{BASE16FLOAT:upstream_response_time}\" \"%{INT:status}\" \"%{WORD:sent_http_ufactrl_response_code}\
" \"%{INT:request_length}\" \"%{INT:bytes_sent}\" \"%{NOTSPACE:sent_http_ufactrl_subapp_code}\" \"%{WORD:verb} %{URIPATHPARAM:request
} HTTP/%{NUMBER:httpversion}\" \"%{DATA:http_user_agent}\""}

	}
	#mutate {
	#	split  => { "message" => "\"  " }
	#}
	date {
		match => [ "time_local" , "dd/MMM/yyyy:HH:mm:ss Z" , "yyyy-MMM-dd HH:mm:ss" ]
	}
	geoip {
		source => "remote_addr"
	}

	kv {
		source => "request"
			field_split => "&?"
			value_split => "="
	}
	urldecode {
		all_fields => true
	}
}

output {
	elasticsearch {
		hosts => '10.0.3.99'
			index =>"%{type}-nginx-%{+YYYY.MM.dd}"
			document_type => "nginx"
#		document_type => "%{type}"
			template_overwrite => true
	}
#	stdout {
#		codec => rubydebug
#	}
}

大坑3:

如果直接用logstash进行日志收集,那节点服务器的内存会占用很多。所以,我们使用n个logstash foward 汇集日志到logsgtash节点。当然,kafka更好。

es里如下配置:

lumberjack {
# The port to listen on
		port => 13810

# The paths to your ssl cert and key
			ssl_certificate => "/home/ke/logstash-2.1.0/bin/lumberjack.crt"
			ssl_key => "/home/ke/logstash-2.1.0/bin/lumberjack.key"

# Set this to whatever you want.
			type => "somelogs"
	}
}

大坑4.kabian的大坑。

每次都下意识想把日志时间字段转化为timestap.其实不用这样。直接拿来日期,用kabian直接显示即可。

Elasticsearch 中使用MustNot等同于不等于遇到的
weixin_38225763的博客
01-27 891
1、在写关键词推荐时,需要把当前文章过滤掉,不能再推荐自己的文章,所以再es中需要用到MustNot属性查询/// 服务中心es检索if (!if (!});但是查询时报400转义后的查询参数对象如下:"query": {"bool": {"term": {],
ElasticSearch记1:_uid字段排序(fielddata特性),导致内存占用,不断GC,最后OOM
sunlen的专栏(编程技术探讨)
12-21 1892
在某一天,我们的系统突然异常,大面积出现白屏,搜索页面点击后,响应非常慢,大量出现响应超过4秒的情况,异常高峰期平均查询时间达到10多秒,后台不断有ES服务宕机重启,GC告警频繁,经过一阵排查折腾,发现居然是简单的_uid字段排序导致的,下面就详细的讲一下。 我们的ES搜索收到一个小小的需求,原来我们的搜索,新的结果会被放到后面去,产品经理希望能够对搜索结果进行排序,按照创建时间倒序排序。 这里自然的相对用ES系统字段_uid进行倒序排序,因为这个字段是按照创建时间生成...
Elasticsearch集群如何实现高并发?
一只小白
06-14 8132
目录1、并发数与QPS和平均耗时的关系1.1、什么是并发数、QPS、平均耗时avg1.2、并发数、QPS和平均耗时三者关系1.3、QPS和并发数,究竟是何种关系?2、Elasticsearch 集群架构2.1、Elasticsearch 关键概念2.2、创建索引流程3、如何提高并发?3.1、优化分片的数量,控制分片的大小3.2、通过横向扩展节点,提高副本数量4、总结在压测思想里面,基本上很少会单独讨论高并发的概念,因为并发并不容易被量化,所以单纯的讨论高并发问题是不现实的。与并发有关的还有另外两个相关的概念
elasticsearch优化2000到4万
老四的博客
05-27 2193
最近埋点日志量翻了一倍,但是ES写入却很慢,刚开始以为是ES的问题,一直在优化ES,最后问题的原因是filebeat导致写入过慢,添加了一台filebeat后就解决了,ES的写入从2000da
ES 杂记
qq_37001674的博客
05-16 815
ES 适用于大数据,高并发,QPS 5000没问题 ES概念 Index 存储方案,类似特性的文档集合 Type 索引内部的逻辑分区,相当于表 Mapping 表结构定义...name,conten..... Document 原子单位,包含一个或多个Field的容器,File对应mapping表结构的定义 Inverted Index 倒排索引会按照指定语法对每一个文档进行分词,然...
ElasticSearch(ES)使用Nested结构存储KV及聚合查询
Jeffrey的博客
03-07 1929
自建博客地址:https://www.bytelife.net,欢迎访问! 本文为博客同步发表文章,为了更好的阅读体验,建议您移步至我的博客???? 本文作者: Jeffrey 本文链接: https://www.bytelife.net/articles/51440.html 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处! 本文将讨论如何在ElasticSearch中使用nested结构进行数据的存储、查询和聚合,并结合K-V场景讨论ElasticSear
Elasticsearch: 这些你踩了吗?
locahuang的博客
03-18 3086
一、引言 本文罗列多数人使用Elasticsearch时可能会遇到的一些点,供大家参考、讨论、补充。 二、1:ES是准实时的? 为了验证这个是否是真,大家可以自己手动测试一下: 当更到数据到ES并且返回提示成功这一瞬间,立马通过ES查询,查看返回的数据是不是最新的。 思考:若查询到的数据是最新的,这个不算,可以填土了;而如果不是最新的数据,那么背后的原因是什么? 如果你还没有做验证,不要紧,我们一起来看下ES数据索引的整个过程,也许你从中也会找到蛛丝马迹。 || 数据索引整个过程 数据
双GLSurfaceView同时显示Preview时遇到的几个
04-26
然而,这并不是一个直接简单的任务,因为涉及到多个SurfaceView之间的同步、纹理渲染以及OpenGL ES的优化等问题。本文将深入探讨在实现双GLSurfaceView同时显示Preview时可能会遇到的,并提供相应的解决方案。 1....
安装ElasticSearch和Logstash证实无几个问题的解决
Leige_Smart的博客
06-13 4858
安装过程: 1. 安装JDK7及以上版本 链接:http://topspeedsnail.com/ubuntu16-install-java-jdk/ 2. 安装elasticsearch 链接:https://www.cnblogs.com/jsjay/p/8621832.html 3. logstash的安...
ElasticSearch】(二)—— 安装elasticsearch
jizhibing的博客
05-15 1109
.部署单点es 1.1.创建网络 因为我们还需要部署kibana容器,因此需要让es和kibana容器互联。这里先创建一个网络: docker network create es-net 1.2.加载镜像 这里我们采用elasticsearch的7.12.1版本的镜像,这个镜像体积非常大,接近1G。不建议大家自己pull。 文章最后有提供了镜像的tar包: 大家将其上传到虚拟机中,然后运行命令加载即可: # 导入数据 docker load -i es.tar 同理还...
Elasticsearch之Template详解_elasticsearchtemplate,作为一个软件测试程序员
2401_84265519的博客
04-17 2447
上面我们讲了Index Template,主要是在创建索引的时候,来根据template的统配规则,确定当前创建的索引是否符合,从而将template里面的配置信息应用在我们新创建的索引中,通常应用于要生成相同配置的索引场景下,比如日志数据管理、统一索引管理等。主要是应用于具体的索引中去的,定义在某个索引的mapping设置中,会根据我们设定的数据类型,匹配一些设定的规则,来动态设定字段类型。这个模板的,但是由于我们在创建索引的时候指定了分片和副本的信息,所以以我们指定的为准。“middle”:“大”,
关于Elasticsearch里面聚合group的
三劫散仙
05-12 3156
原来知道Elasticsearch在分组聚合时有一些但没有细究,今天又看了遍顺便做个笔记和大家分享一下。 我们都知道Elasticsearch是一个分布式的搜索引擎,每个索引都可以有多个分片,用来将一份大索引的数据切分成多个小的物理索引,解决单个索引数据量过大导致的性能问题,另外每个shard还可以配置多个副本,来保证高可靠以及更好的抗并发的能力。 将一个索引切分成多个shard,大...
elasticsearch 性能测试
大齐的学习笔记
06-26 1622
最近花很大的经历来做性能测试,把结果整理到了ppt中,可能有个别地方不准,但是可以看看一个趋势。 主要分为两部分,一部分是写入elasticsearch性能,一部分是查询测试,elasticsearch的查询性能。 当然在elasticsearch1.3.0之后elasticsearch会提供benchmark来评估服务器性能实用情况。 硬件配置 主机 cpu mem dis...
Elasticsearch——filter过滤查询
weixin_34242331的博客
02-19 2192
1. filter filter,就是按照搜索条件过滤出需要的数据,不计算任何相关度分数,对相关度没有影响 2. filter 与 query 对比 filter,按照搜索条件过滤出需要的数据,不计算任何相关度分数,对相关度没有影响 query,会去计算每个document相对于搜索条件的相关度,并按照相关度进行排序 在实际开发中,如果需要把最匹配搜索条件的数据先返回,那么用query,果只是...
Elasticsearch及ELK使用(二):日志数据采集
zyplanke的专栏
06-26 5871
上一篇结束了Elasticsearch和kibana的安装和基本使用。本文介绍日志数据采集(也叫日志采集),涉及filebeat的软件和logstash软件。 本文分别介绍了从日志文件采集和从数据库(MySQL)中采集。
跳过elasticsearch
奔跑的大叔的博客
08-31 638
ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。 我们建立一个网站或应用程序,并要添加搜索功能,但是想要完成搜索工作的创建...
如何保存JMeter的性能测试数据到ElasticSearch
黄洪波的博客
12-12 1314
如何保存各种自定义的参数(除了Jmeter自己提供的参数之外),用于为将来提供更多分析的可能性 比如我们希望保存当前部署的产品的版本号,这个在比较各个不同版本的性能的时候,非常有用。我们在插件中,会把当前机器的以自定义的字符串开头的环境变量都存储到每条JMeter的记录中去。事后,用户就可以很灵活的使用这些自定义的参数来分析性能了(例如,地域代码,产品部署相关的各种参数) 
float与double的范围和精度
06-30 7611
单精度浮点数在机内占4个字节,用32位二进制描述。 双精度浮点数在机内占8个字节,用64位二进制描述。 浮点数在机内用指数型式表示,分解为:数符,尾数,指数符,指数四部分。数符占1位二进制,表示数的正负。指数符占1位二进制,表示指数的正负。尾数表示浮点数有效数字,0.xxxxxxx,但不存开头的0和点指数存指数的有效数字。 指数占多少位,尾数占多少位,由计算机系统决定。 可能是数符加尾数占24位,...
Elasticsearch入门教程(一):Elasticsearch及插件安装
热门推荐
人不风流枉少年
01-29 2万+
一:安装Elasticsearch 下载并解压Elasticsearch 直接到官网(https://www.elastic.co/cn/downloads/elasticsearch)下载适合自己的系统的Elasticsearch,这里下载的是目前最新的版本6.1.1,然后解压放到合适的目录即可,这里放在/usr/local下面. elasiticsearch目录 bin 运行
elasticsearch源码
最新发布
03-21
<think>好的,我现在需要处理用户关于如何下载Elasticsearch源码的问题。用户提到想从GitHub下载,所以首先我得确认正确的步骤和可能的注意事项。 首先,我记得用户之前提供的引用中有几个相关的信息。比如引用[2]提到要克隆仓库并切换到特定分支,比如7.10分支。引用[3]则提到了下载特定版本的源码压缩包,比如6.1.2版本。引用[4]指出有时源码版本和实际发布的版本可能不一致,需要注意。这些信息都需要整合到回答中,确保用户不会遇到版本混淆的问题。 接下来,用户需要具体的步骤。我应该分步骤说明如何通过Git克隆和切换分支,以及如何直接下载发布版本。同时要提醒用户可能需要非root账户运行,如引用[3]所述,避免权限问题。 另外,源码编译可能需要Java环境,引用[1]提到JDK版本,这里需要确认用户是否已安装合适版本的JDK,并在步骤中加入相关提示。例如,编译前需要安装正确的JDK版本,否则可能导致失败。 还要注意引用[5]提到的Elasticsearch Head插件,虽然这可能属于后续使用部分,但可以作为补充信息,帮助用户更好地管理和查看ES的信息。 用户可能遇到的常见问题包括:版本选择错误、分支切换问题、依赖安装缺失等。需要提前将这些可能的点列出来,比如引用[4]中的版本不一致问题,提醒用户仔细核对版本号。 最后,生成相关问题需要考虑用户可能的后续需求,比如环境搭建、版本差异处理、插件使用等,这样能帮助用户更全面地解决问题。 总结步骤: 1. 克隆仓库并切换分支或标签。 2. 下载特定版本的发布包。 3. 注意权限问题,使用非root账户。 4. 检查依赖环境如JDK。 5. 提示编译和运行时的注意事项。 6. 提供相关引用支持每个步骤,增强可信度。 需要确保每个步骤都有对应的引用支持,例如步骤1引用[2],步骤2引用[3],权限问题引用[3]等。同时,语言要简洁明了,避免技术术语过多,但保持准确。</think>以下是Elasticsearch源码的下载方法及注意事项: ### 一、通过GitHub克隆源码(推荐开发者) 1. **克隆仓库** 执行命令克隆最新代码(默认`main`分支): ```bash git clone git@github.com:elastic/elasticsearch.git ``` 若需特定版本(如7.10),切换分支: ```bash git checkout -b 7.10 origin/7.10 # 引用[2] ``` 2. **版本对照** 注意Git标签与发布版本可能不一致,例如Git标签`v7.13.0`实际对应Release版本`7.12.0`[^4],需在[Release页面](https://github.com/elastic/elasticsearch/releases)核对。 --- ### 二、直接下载发布版本(推荐快速获取) 1. **访问Release页面** 打开[Elasticsearch GitHub Releases](https://github.com/elastic/elasticsearch/releases),选择所需版本(如6.1.2): ```bash wget https://github.com/elastic/elasticsearch/archive/refs/tags/v6.1.2.tar.gz tar -zxvf v6.1.2.tar.gz # 引用[3] ``` 2. **可运行版本** 官网提供预编译版本:[官网下载地址](https://www.elastic.co/downloads/elasticsearch)[^1] --- ### 三、关键注意事项 1. **权限问题** Elasticsearch禁止以root用户运行,需创建普通用户: ```bash groupadd admin && useradd -d /home/admin -g admin -m admin # 引用[3] ``` 2. **编译依赖** - JDK版本需与源码要求匹配(如ES 7.x需要JDK11+) - 配置Gradle参数加速编译: ```bash ./gradlew -Dorg.gradle.daemon=true assemble ``` 3. **插件支持** 建议安装Elasticsearch Head插件管理索引[^5]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值