查詢?nèi)罩?/h1>
通過阿里云Elasticsearch的日志功能,您可以輸入關(guān)鍵字和設(shè)置時間范圍,鎖定需要查詢的日志內(nèi)容,快速定位集群問題,輔助集群運(yùn)維。本文為您介紹如何查詢?nèi)罩疽约俺R娙罩镜氖褂谜f明。
使用限制
ES訪問日志:僅6.7.0及7.10版本的實例支持在控制臺查看ES訪問日志。
審計日志:僅以下地域的7.x及以上版本實例支持在控制臺查看審計日志。
國家或大區(qū)
地域
中國
華北2(北京)、華東1(杭州)、華東2(上海)、華北3(張家口)
亞太
新加坡、澳大利亞(悉尼)關(guān)停中、馬來西亞(吉隆坡)、印度尼西亞(雅加達(dá))、日本(東京)
歐洲與美洲
美國(弗吉尼亞)、美國(硅谷)、德國(法蘭克福)、英國(倫敦)
異步寫入日志:僅華北2(北京)地域下,6.7版本開啟了異步寫入高可用特性的實例支持在控制臺查看異步寫入日志。
重要目前6.7版本實例已不再支持開啟寫入高可用特性,僅存量已開啟寫入高可用特性的實例可在控制臺查看異步寫入日志。
操作步驟
- 登錄阿里云Elasticsearch控制臺。
- 在左側(cè)導(dǎo)航欄,單擊Elasticsearch實例。
- 進(jìn)入目標(biāo)實例。
- 在頂部菜單欄處,選擇資源組和地域。
- 在Elasticsearch實例中單擊目標(biāo)實例ID。
在左側(cè)導(dǎo)航欄,單擊日志查詢,查看集群的運(yùn)行日志。
阿里云Elasticsearch主要支持的日志類型包括:主日志、Searching慢日志、Indexing慢日志、GC日志、ES訪問日志、異步寫入日志和審計日志,各類日志的說明和使用場景如下,更多詳細(xì)信息請參見日志說明。
日志類型
說明
使用場景
主日志
集群的健康運(yùn)行狀態(tài)及索引查詢寫入日志。例如,寫入相關(guān)日志包含創(chuàng)建索引、更新索引mapping和寫入隊列打滿等日志;查詢相關(guān)日志包含查詢隊列和查詢異常等日志。
當(dāng)您需要查看集群中各節(jié)點(diǎn)的運(yùn)行狀況及查詢寫入情況,例如節(jié)點(diǎn)之間的連通性、Full GC情況、創(chuàng)建或刪除索引情況、集群級別的查詢報錯等信息時,可查看主日志進(jìn)行排查。
重要如果您的業(yè)務(wù)側(cè)出現(xiàn)問題,建議優(yōu)先查看主日志和集群監(jiān)控,排除集群自身的性能瓶頸或配置問題。
Searching慢日志
慢查詢?nèi)罩尽.?dāng)查詢耗時超過指定閾值時,將在慢查詢?nèi)罩局写蛴∠嚓P(guān)信息。慢查詢閾值已在場景化模板的索引模板中配置,默認(rèn)情況下已是最優(yōu),只需一鍵應(yīng)用即可,詳細(xì)信息請參見索引模板配置。
當(dāng)您的業(yè)務(wù)出現(xiàn)查詢耗時久的情況時,可查看Searching慢日志進(jìn)行排查。
查詢耗時越久,集群資源消耗越大。當(dāng)日志存在大量的慢日志,請排查集群資源及負(fù)載情況,獲取瓶頸項,根據(jù)瓶頸項及時擴(kuò)充對應(yīng)資源或使用集群限流插件(aliyun-qos)進(jìn)行限流,以保證集群的穩(wěn)定性。
Indexing慢日志
慢寫入日志。當(dāng)寫入耗時超過指定閾值時,將在慢寫入日志中打印相關(guān)信息。慢寫入閾值已在場景化模板的索引模板中配置,默認(rèn)情況下已是最優(yōu),只需一鍵應(yīng)用即可,詳細(xì)信息請參見索引模板配置。
當(dāng)您的業(yè)務(wù)出現(xiàn)寫入耗時久的情況時,可查看Indexing慢日志進(jìn)行排查。
寫入耗時越久,對集群的資源消耗越大。當(dāng)日志存在大量的慢日志,請排查集群資源及負(fù)載情況,獲取瓶頸項,根據(jù)瓶頸項及時擴(kuò)充對應(yīng)資源或使用集群限流插件(aliyun-qos)進(jìn)行限流,以保證集群的穩(wěn)定性。
GC日志
垃圾回收器日志。顯示所有JVM堆內(nèi)存占用觸發(fā)的垃圾回收情況,通過GC日志可獲取詳細(xì)的垃圾回收信息,包括Old GC、CMS GC、Full GC以及Minor GC等回收機(jī)制。
當(dāng)集群出現(xiàn)性能瓶頸時,可通過GC日志獲取詳細(xì)的GC回收信息,查看是否存在耗時長或操作頻繁的GC。如果存在,需要及時擴(kuò)充集群資源或使用集群限流插件(aliyun-qos)進(jìn)行限流,以保證集群的穩(wěn)定性。
重要默認(rèn)情況下,阿里云Elasticsearch集群使用CMS回收器,而當(dāng)數(shù)據(jù)節(jié)點(diǎn)內(nèi)存大于等于32 GB時,建議使用G1回收器,以提高GC回收效率。詳細(xì)信息請參見配置垃圾回收器。
ES訪問日志
集群的訪問日志。顯示Elasticsearch集群接收到restSearchAction相關(guān)請求的詳細(xì)信息,包括uri、bodySize、請求時間等。
重要僅6.7.0及7.10版本的實例支持在控制臺查看ES訪問日志。
ES訪問日志不支持以下查詢場景日志:SQL查詢、multi查詢、 scroll查詢、Kibana部分可視化工具觸發(fā)的查詢。
如果您想獲取更完善的查詢寫入請求信息,建議開啟審計日志,詳情請參見配置Auditlog(審計日志)。
當(dāng)您需要排查哪些客戶端在向Elasticsearch集群發(fā)送查詢請求時,可通過ES訪問日志獲取。
異步寫入日志
當(dāng)集群開啟異步寫入高可用特性時,可以通過異步寫入高可用架構(gòu)實現(xiàn)讀寫分離。同時,異步寫入高可用特性加入了服務(wù)代理和消息隊列等組件,異步寫入日志用來記錄對應(yīng)服務(wù)的狀態(tài)及數(shù)據(jù)寫入日志。
重要僅華北2(北京)地域下,6.7版本且開啟了異步寫入高可用特性的實例支持控制臺查看異步寫入日志。
目前6.7版本實例已不再支持開啟寫入高可用特性,僅存量已開啟寫入高可用特性的實例可在控制臺查看異步寫入日志。
當(dāng)您使用寫入高可用功能需要排查該部分組件服務(wù)的狀態(tài)和集群數(shù)據(jù)寫入問題時,可通過異步寫入日志排查分析。
審計日志
Elasticsearch實例對應(yīng)的增、刪、改、查等操作產(chǎn)生的審計日志。
重要僅使用限制中所列地域的7.x及以上版本實例支持在控制臺查看審計日志。其他實例需要在YML配置中開啟審計日志,開啟后審計日志會以索引形式寫入當(dāng)前的Elasticsearch集群中,您可以在Kibana控制臺上查看.security_audit_log-*開頭的索引來查看審計日志。詳細(xì)信息請參見配置YML參數(shù)。
在控制臺上查看審計日志前,需要先單擊日志設(shè)置開啟審計日志采集。
審計日志默認(rèn)采集的事件類型為access_denied, anonymous_access_denied, authentication_failed, connection_denied, tampered_request, run_as_denied, run_as_granted,如果您需要修改采集的審計事件類型,需要修改集群的YML文件中的xpack.security.audit.logfile.events.include參數(shù),詳細(xì)信息請參見配置Auditlog(審計日志)。
當(dāng)您出現(xiàn)身份驗證失敗、拒絕連接、需要查看數(shù)據(jù)訪問事件以及發(fā)現(xiàn)集群存在可疑活動(例如數(shù)據(jù)訪問授權(quán)和用戶安全配置更改)的情況時,可通過查看審計日志進(jìn)行排查分析。
在日志頁面的搜索框中,輸入查詢條件,選擇開始時間和結(jié)束時間,單擊搜索。
阿里云Elasticsearch最多支持查詢連續(xù)7天內(nèi)的日志,日志默認(rèn)按時間倒序展示。支持基于Lucene的日志查詢語法,詳情請參見Query string syntax。
以查詢content包含關(guān)鍵字health,level為info,host為172.16.xx.xx的主日志為例,示例查詢條件為:
host:172.16.xx.xx AND content:health AND level:info。重要查詢條件中的
AND必須為大寫。如果結(jié)束時間為空,那么結(jié)束時間默認(rèn)為當(dāng)前時間。如果開始時間為空,那么開始時間默認(rèn)為結(jié)束時間減去1小時。
阿里云Elasticsearch最大支持返回10000條日志,如果在返回的10000條日志中,未覆蓋到您所需要的日志內(nèi)容,可以通過縮短查詢時間范圍來獲取需要的日志。
搜索成功后,阿里云Elasticsearch會根據(jù)您的查詢條件返回日志查詢結(jié)果,并展示在日志查詢頁面。
日志說明
主日志
主日志主要展示集群的運(yùn)行日志,包括日志產(chǎn)生的時間、日志所在的節(jié)點(diǎn)IP和日志內(nèi)容。
參數(shù) | 說明 |
時間 | 日志產(chǎn)生時間。 |
節(jié)點(diǎn)IP | 生成日志的節(jié)點(diǎn)的IP地址。 |
內(nèi)容 | 日志的詳細(xì)信息,主要由level、host、time和content組成:
|
慢日志
慢日志默認(rèn)開啟,主要展示超過指定時間閾值的索引(Indexing慢日志)和查詢(Searching慢日志)日志。在集群負(fù)載不均、讀寫異常、處理數(shù)據(jù)很慢等情況下,您可以通過查詢慢日志來分析具體原因。
默認(rèn)情況下,阿里云Elasticsearch的慢日志會記錄5~10秒的讀寫操作,這樣不利于排查問題。因此在實例創(chuàng)建完成后,您可以選擇以下任意一種方式,降低日志記錄的時間間隔,以抓取更多的日志:
集群創(chuàng)建成功后,場景化配置模板默認(rèn)已開啟,且會自動應(yīng)用到集群中。其中索引模板配置中定義了慢日志配置,您無需修改保持默認(rèn)即可。其中通用場景默認(rèn)的慢日志配置如下:
"settings": { "index": { "search": { "slowlog": { "level": "info", "threshold": { "fetch": { "warn": "200ms", "trace": "50ms", "debug": "80ms", "info": "100ms" }, "query": { "warn": "500ms", "trace": "50ms", "debug": "100ms", "info": "200ms" } } } }, "refresh_interval": "10s", "unassigned": { "node_left": { "delayed_timeout": "5m" } }, "indexing": { "slowlog": { "level": "info", "threshold": { "index": { "warn": "200ms", "trace": "20ms", "debug": "50ms", "info": "100ms" } }, "source": "1000" } } } }說明如果場景化配置模板為不啟用狀態(tài),您需要參見修改場景化配置模板,啟用并提交模板配置,才可以將默認(rèn)的慢日志配置應(yīng)用到集群。
參見登錄Kibana控制臺,登錄該實例的Kibana控制臺,執(zhí)行以下命令,修改慢日志配置。
PUT _settings{ "index.indexing.slowlog.threshold.index.warn" : "200ms", "index.indexing.slowlog.threshold.index.trace" : "20ms", "index.indexing.slowlog.threshold.index.debug" : "50ms", "index.indexing.slowlog.threshold.index.info" : "100ms", "index.search.slowlog.threshold.fetch.warn" : "200ms", "index.search.slowlog.threshold.fetch.trace" : "50ms", "index.search.slowlog.threshold.fetch.debug" : "80ms", "index.search.slowlog.threshold.fetch.info" : "100ms", "index.search.slowlog.threshold.query.warn" : "500ms", "index.search.slowlog.threshold.query.trace" : "50ms", "index.search.slowlog.threshold.query.debug" : "100ms", "index.search.slowlog.threshold.query.info" : "200ms"}
修改完成后,在執(zhí)行讀寫任務(wù)時,如果執(zhí)行時間超過了以上配置的時間,您就可以在慢日志頁簽中查詢到對應(yīng)的日志。
GC日志
GC日志默認(rèn)開啟,包含日志產(chǎn)生的時間、所在節(jié)點(diǎn)的IP地址和日志內(nèi)容。詳細(xì)信息,請參見主日志。
ES訪問日志
訪問日志展示了Elasticsearch集群接收到restSearchAction相關(guān)請求的詳細(xì)信息,包括集群node和IP地址、bodySize、請求內(nèi)容、請求時間、發(fā)起請求的客戶端IP地址、uri等信息。
僅6.7.0和7.10版本的實例支持在控制臺查看ES訪問日志。
如果您想獲取更完善的查詢寫入請求信息,建議開啟審計日志,詳情請參見配置Auditlog(審計日志)。
審計日志
僅使用限制中所列地域的7.x及以上版本實例支持在控制臺查看審計日志。
審計日志主要展示Elasticsearch實例對應(yīng)的增、刪、改、查等操作產(chǎn)生的日志。默認(rèn)關(guān)閉,您可以通過以下步驟開啟并查看審計日志:
在日志查詢頁面,單擊右側(cè)的日志設(shè)置。
在日志設(shè)置對話框中,打開審計日志采集開關(guān)。
重要開啟審計日志采集后,您可以在當(dāng)前頁面查詢到該集群的審計日志。如果您需要修改采集的審計事件類型,請前往集群配置修改xpack.security.audit.logfile.events.include參數(shù)配置,詳細(xì)信息請參見配置Auditlog(審計日志)。
開啟或關(guān)閉審計日志采集會觸發(fā)集群重啟。目前阿里云Elasticsearch集群重啟是采用滾動重啟的方式。在集群狀態(tài)正常(綠色)、索引至少包含1個副本的情況下,如果資源使用率也不是特別高,那么集群在重啟期間能夠持續(xù)提供服務(wù)。但建議在業(yè)務(wù)低峰期操作。
選中操作提示,單擊確認(rèn)。
確認(rèn)后,集群會進(jìn)行重啟。重啟過程中,可在任務(wù)列表查看進(jìn)度。重啟成功后,即可開啟審計日志采集。
重要審計日志信息會占用您的磁盤空間,同時也會影響性能。如果您不需要查看審計日志,可使用同樣的方式關(guān)閉審計日志采集功能。
在日志查詢頁面,單擊審計日志頁簽,查看審計日志。
