高級監控報警的日志監控功能提供了慢查詢日志、慢索引日志、訪問日志和主日志等日志監控能力,方便您實時獲取集群日志情況,從運維角度,能夠幫助您快速排查和定位問題。本文主要介紹如何通過日志監控功能獲取監控數據以及如何快速過濾日志數據。
前提條件
已在支持高級監控報警服務的地域下創建阿里云Elasticsearch實例:
目前高級監控報警服務支持的地域包括:杭州、北京、上海、深圳、青島、張家口、成都、廣州、烏蘭察布、北京金融云、美國東部、美國西部、日本、印度尼西亞、中國香港,具體以控制臺為準。
創建實例的具體操作,請參見創建阿里云Elasticsearch實例。
熟悉Grafana監控大屏的使用方法。詳細信息,請參見Grafana Dashboard。
使用限制
高級監控報警功能提供了基礎指標、引擎指標和日志數據的監控和報警。僅內核版本大于1.2.0的6.7.0或7.10.0版本支持引擎指標監控。升級內核版本,請參見升級版本。
使用RAM角色單點登錄阿里云控制臺時,不支持訪問高級監控報警服務。如果需要訪問,可使用RAM用戶單點登錄阿里云控制臺。
查看默認日志指標
- 登錄阿里云Elasticsearch控制臺。
- 在左側導航欄,單擊高級監控報警。
- 選擇,即可看到所有接入實例的日志監控數據。
- 查看特定實例的監控數據。
- 方法一:通過過濾欄篩選instanceID查看監控數據
- 鼠標停留在監控窗口,按鍵盤Esc鍵,將跳出Grafana菜單頁及過濾欄。
- 在過濾欄中,選擇instanceId、regionId和level,即可查看該實例的慢查詢日志、慢索引日志、訪問日志和主日志等相關監控數據。
- 方法二:從實例列表入口跳轉
- 在Elasticsearch實例中,單擊目標實例ID。
- 在左側導航欄,選擇。
- 單擊高級日志監控頁簽,即可查看當前實例的監控數據。
關鍵詞 標簽示例 說明 avg 慢查詢耗時avg 數據節點慢查詢平均耗時。 max 慢查詢耗時max 數據節點慢查詢最大耗時。 分布 慢查詢耗時分布 秒間隔時間內,慢查詢數量分布。例如: - 0 ms ≤ search_time_ms(慢查詢耗時)< 1000 ms,此區間分布了11020條慢查詢日志。
- 1000 ms≤ search_time_ms(慢查詢耗時)< 2000 ms,此區間分布了149條慢查詢日志。
- search_time_ms(慢查詢耗時)≥2000 ms,此區間分布了1條慢查詢日志。
條數 慢查詢條數 集群中慢查詢日志總條數。 說明- 高級監控報警服務中的Grafana監控大盤,使用方式與開源Grafana一致。更多信息,請參見Grafana documentation。
- 高級監控報警服務提供的所有默認監控大盤,均不支持任何修改。如需修改,您可通過配置自定義監控大屏定制更貼合業務需求的監控大盤。
- 方法一:通過過濾欄篩選instanceID查看監控數據
查詢日志
日志監控支持對慢查詢日志、慢索引日志、訪問日志和主日志進行過濾查詢,不同的日志類型來自不同的數據源。具體信息見下表。
| 數據源 | 說明 |
| es-slow-search | 提供慢查詢日志數據。 |
| es-slow-index | 提供慢索引日志數據。 |
| es-access-log | 提供訪問日志數據(當前僅支持6.7.0和7.10.0版本的實例)。 |
| es-instance-search | 提供主日志數據。 |
由于各類日志的查詢流程一致,所以本文以慢查詢日志為例,介紹日志查詢的操作步驟。
- 登錄阿里云Elasticsearch控制臺。
- 在左側導航欄,單擊高級監控報警。
- 選擇。
- 在日志監控頁面,單擊慢查詢日志頁簽。
- 設置Query。
例如:如果您需要過濾出實例以es-cn-n6w24ma4開頭、索引名為geonames、content中包含aggregations并且查詢耗時小于等于240ms的慢查詢日志,需要設置Query語句為:
instanceId:es-cn-n6w24ma4* AND index_name: geonames AND content: aggregations AND search_time_ms: <=240
說明- Query支持
>、<、=、>=、<=、AND和OR等條件符,具體請參考Query string。 - 不同的日志屬性支持的數據源不一樣,不同的數據源支持的query字段存在部分不同。例如上面的慢查詢日志頁面中
es-slow-search表示慢查詢數據源,提供的search_time_ms表示查詢時間。具體參考日志查詢內置字段。 - 日志監控頁面中僅Query可用,且僅支持對日志數據的檢索,其他檢索項修改后無法生效。例如將檢索范圍的默認logs修改為sum或其他值,則不會生效。
- Query支持
- 單擊Run Query。
- 單擊其中一條日志,即可在Detected fields下查看日志內容及Query可查詢的具體字段。
日志查詢內置字段列表
- 獨立字段
類型 獨立字段 說明 慢查詢 search_time_ms 查詢耗時時長。 search_total_hits 查詢命中的文檔數。 search_type 查詢類型。 shard_id 執行該條查詢的shard編號。 slow_search_log_type 慢日志類型。 total_shards 總shard數。 content query查詢體。 慢寫入 index_time_ms 寫入耗時時長。 content query查詢體。 主日志 content query查詢體。 訪問日志 node 產生訪問日志的Elasticsearch節點。 query 執行的查詢體,過濾時請使用source代替query字段做查詢。 remote 遠程服務器IP地址。 bodySize 請求大小。單位:Byte。 uri 訪問路徑。 說明 獨立字段僅說明各個日志類型支持的不同的字段部分,相同字段部分請參考下表通用字段。 - 通用字段
通過字段 說明 es_available_zone 實例可用區。 es_region 實例所在地域。 es_resourceUid 實例UID。 es_resource_group 實例所在資源組。 host 節點IP。 instanceId 實例ID。 level 日志級別,包括trace、debug、info、warn、error等。 說明 以_開頭的字段均為Elasticsearch元數據自帶的字段。
文檔內容是否對您有幫助?