1、实战问题
请问一下球主,es怎么配置可以把请求日志都打印出来。就是不管是调用借口,还是kibana查询数据,es能打印dsl的请求日志吗??求指导。怎么配置?
——问题来源:https://t.zsxq.com/09vv8rqZj
2、Elasticsearch 日志必知必会
2.1 Elasticsearch 日志用途
集群状态监测和故障诊断。
2.2 Elasticsearch 日志缺省路径
$ES_HOME/logs。如果命令行启动 ES,则日志输出信息也是命令行。
2.3 Elasticsearch 日志基于组件
Log4j 2
https://logging.apache.org/log4j/2.x/
2.4 Elasticsearch 日志配置文件
log4j2.properties 。
和 elasticsearch.yml 文件路径相同。
2.5 Elasticsearch 日志配置内容
命名规范
日志随日期滚动策略(日志大小等条件设置)等。
2.6 Elasticsearch 日志级别
由低到高分别为:TRACE -> DEBUG -> INFO -> WARN -> ERROR -> FATAL,如下图所示。
图片来自:spring 官网
这些大家并不陌生,日志级别越低(前提系统设置的话),打印输出的越多;日志级别越高,比如:FATAL,只是特定致命场景才会打印输出,一般遇不到。
2.7 Elasticsearch 默认日志类型调整方式
前提:支持动态更新。
方式一:支持动态更新,无需重启。
PUT /_cluster/settings
{
"persistent": {
"logger.org.elasticsearch.discovery": "DEBUG"
}
}方式二:elasticsearch.yml 配置(静态配置方式,重启后生效)。
logger.org.elasticsearch.discovery: DEBUG方式三:log4j2.properties 配置(静态配置方式,重启后生效)
logger.discovery.name = org.elasticsearch.discovery
logger.discovery.level = debug3、日志调到最低级别,看能否输出检索DSL?
问题来了?改成最低TRACE级别,日志能输出咱们的日期请求吗?试试看。
那怎么办?如何输出请求日志?此路已然不同,我们只能另寻他路。除了基础日志,我们还有slowlog日志。
4、Elasticsearch slowlog日志必知必会
4.1 Elasticsearc slowlog 用途
见名释义,本质是:慢日志,又可以分为:慢检索日志和慢写入日志。
slowlog 用于显示:query 阶段 和 fetch 阶段的日志。
Elasticsearch 查询请求如下图所示。
图片来自 Elastic 官方博客
query 阶段的核心步骤:
客户端发送请求到协调节点;
协调阶段转发请求到索引的每个主或副本分片;
分片本地查询完成后,将结果添加到本地的优先队列;
每个分片将本地结果返回给协调节点,协调节点合并完成后,形成全局排序列表。
fetch 阶段的核心步骤:
协调节点接收到客户端请求后,将 GET 请求(来自query 阶段形成的全局排序列表结果数据)-转发给相关节点。
接收到请求后的节点向协调节点返回结果数据。
待全部结果数据都返回后,协调节点将结果返回给客户端。
4.2 Elasticsearc slowlog 设置内容含义
如下所示,拿 query 阶段举例(以实测为准):
query 请求耗时超过 500ms,打印 trace 日志。
query 请求耗时超过 2s,打印 debug 日志。
query 请求耗时超过 5s,打印 info 日志。
query 请求耗时超过 10s,打印 warn 日志。
index.search.slowlog.threshold.query.warn: 10s
index.search.slowlog.threshold.query.info: 5s
index.search.slowlog.threshold.query.debug: 2s
index.search.slowlog.threshold.query.trace: 500msfetch 阶段设置如下,原理同上。
index.search.slowlog.threshold.fetch.warn: 1s
index.search.slowlog.threshold.fetch.info: 800ms
index.search.slowlog.threshold.fetch.debug: 500ms
index.search.slowlog.threshold.fetch.trace: 200msindex 写入日志设置如下,原理同上。
index.indexing.slowlog.threshold.index.warn: 10s
index.indexing.slowlog.threshold.index.info: 5s
index.indexing.slowlog.threshold.index.debug: 2s
index.indexing.slowlog.threshold.index.trace: 500ms
index.indexing.slowlog.source: 10004.3 slowlog 中 source:1000 含义是?
"index.indexing.slowlog.source": "1000"如下这个问题至少被问到三次,问题大致如下:
slowlog 日志显示不全、被截取了怎么办?
默认:记录slowlog中_source的前1000个字符。
设置为 true 含义:记录整个源请求。
设置为 false 或 0 含义:不记录源请求。
特别说明:原始_source被重新格式化,以确保它适合于单个日志行。
4.3 Elasticsearch slowlog 如何设置?
直接更新 setting 就可以,动态参数,支持动态更新。
PUT /my-index-000001/_settings
{
"index.search.slowlog.threshold.query.warn": "10s",
"index.search.slowlog.threshold.query.info": "5s",
"index.search.slowlog.threshold.query.debug": "2s",
"index.search.slowlog.threshold.query.trace": "500ms",
"index.search.slowlog.threshold.fetch.warn": "1s",
"index.search.slowlog.threshold.fetch.info": "800ms",
"index.search.slowlog.threshold.fetch.debug": "500ms",
"index.search.slowlog.threshold.fetch.trace": "200ms"
}4.3 基于slowlog 打印请求日志
slowlog 既然可以基于阈值打印输出请求日志,阈值势必可以设置很低,最低设置为0,必然能打印出全部日志了。
试试看?
如下是基于 packets-2022-12-14 进行的 index、fetch、query 的 debug 设置。
PUT packets-2022-12-14/_settings
{
"index.indexing.slowlog.threshold.index.debug": "0s",
"index.search.slowlog.threshold.fetch.debug": "0s",
"index.search.slowlog.threshold.query.debug": "0s"
}设置完成后,在 kibana 控制台随意加个 query 请求。
日志存储在:elasticsearch_index_search_slowlog.json 文件下,如下图所示。
如下图标红所示,任意的请求 DSL 被打印出来。
开篇问题得以求解完成!
5、小结
Elasticearch 日志协助排查集群故障,慢日志协助排查写入、查询层面的慢写入、慢查询问题。集群规模大,可以独立采集到 Kibana 可视化展示,更为方便和快捷!
你有没有使用 Elasticsearch 日志?欢迎留言讨论。如何使用的?
参考
[1]https://www.elastic.co/guide/en/elasticsearch/reference/current/logging.html
[2]https://www.elastic.co/guide/en/elasticsearch/reference/current/index-modules-slowlog.html
推荐阅读
全网首发!从 0 到 1 Elasticsearch 8.X 通关视频
重磅 | 死磕 Elasticsearch 8.X 方法论认知清单(2022年国庆更新版)
如何系统的学习 Elasticsearch ?
更短时间更快习得更多干货!
和全球 1800+ Elastic 爱好者一起精进!
比同事抢先一步学习进阶干货!
