标签归档:ElasticSearch

Elasticsearch聚合之Date Histogram聚合

Date histogram的用法与histogram差不多,只不过区间上支持了日期的表达式。

{
"aggs":{
    "articles_over_time":{
        "date_histogram":{
            "field":"date",
            "interval":"month"
            }
        }
    }
}

interval字段支持多种关键字:`year`, `quarter`, `month`, `week`, `day`, `hour`, `minute`, `second`

当然也支持对这些关键字进行扩展使用,比如一个半小时可以定义成如下:

{
    "aggs":{
        "articles_over_time":{
            "date_histogram":{
                "field":"date",
                "interval":"1.5h"
                }
            }
        }
}

返回的结果可以通过设置format进行格式化:

{
    "aggs":{
        "articles_over_time":{
            "date_histogram":{
                "field":"date",
                "interval":"1M",
                "format":"yyyy-MM-dd"
                }
            }
        }
}

得到的结果如下:

{
    "aggregations":{
        "articles_over_time":{
            "buckets":[{
                "key_as_string":"2013-02-02",
                "key":1328140800000,
                "doc_count":1
            },{
                "key_as_string":"2013-03-02",
                "key":1330646400000,
                "doc_count":2
            },
            ...
            ]}
        }
}

其中key_as_string是格式化后的日期,key显示了是日期时间戳,

time_zone时区的用法
在es中日期支持时区的表示方法,这样就相当于东八区的时间。

{
    "aggs":{
        "by_day":{
            "date_histogram":{
                "field":"date",
                "interval":"day",
                "time_zone":"+08:00"
            }
        }
    }
}

offset 使用偏移值,改变时间区间
默认情况是从凌晨0点到午夜24:00,如果想改变时间区间,可以通过下面的方式,设置偏移值:

{"aggs":{
    "by_day":{
        "date_histogram":{
            "field":"date",
            "interval":"day",
            "offset":"+6h"
            }
        }
    }
}

那么桶的区间就改变为:

"aggregations":{
    "by_day":{
        "buckets":[{
            "key_as_string":"2015-09-30T06:00:00.000Z",
            "key":1443592800000,
            "doc_count":1
        },{
            "key_as_string":"2015-10-01T06:00:00.000Z",
            "key":1443679200000,
            "doc_count":1
        }]
    }
}

Missing Value缺省字段
当遇到没有值的字段,就会按照缺省字段missing value来计算:

{
    "aggs":{
        "publish_date":{
            "date_histogram":{
                "field":"publish_date",
                "interval":"year",
                "missing":"2000-01-01"
            }
        }
    }
}

公司使用Elasticsearch统计CDN日志计算95峰值带宽的搜索语句

{
  "size": 0,
  "aggs": {
    "articles_over_time": {
      "date_histogram": {
        "field": "@timestamp",
        "interval": "5m",
        "time_zone": "Asia/Shanghai",
        "format": "yyyy-MM-dd HH:mm"
      },
      "aggs": {
        "1": {
          "sum": {
            "field": "bytes"
          }
        }
      }
    }
  }
}

elasticsearch集群搭建

Nginx日志收集服务器的集群配置如下,其中10.59.0.248为集群主,不存储数据。10.59.0.116和10.59.0.138作为数据节点。
10.59.0.248:

network.bind_host: 0
http.cors.enabled: true
cluster.name: logstash_sec
node.name: node-1
node.master: true
node.data: false
discovery.zen.ping.unicast.hosts: ["10.59.0.138","10.59.0.248","10.59.0.116"]
network.publish_host: 10.59.0.248
path.data: /data/

10.59.0.116:

network.bind_host: 0
http.cors.enabled: true
cluster.name: logstash_sec
node.name: node-3
node.master: false
node.data: true
discovery.zen.ping.unicast.hosts: ["10.59.0.138","10.59.0.248","10.211.0.116"]
network.publish_host: 10.59.0.116
path.data: /data,/backup

10.59.0.138:

network.bind_host: 0
http.cors.enabled: true
cluster.name: logstash_sec
node.name: node-2
node.master: false
node.data: true
discovery.zen.ping.unicast.hosts: ["10.59.0.248","10.59.0.138","10.59.0.116"]
network.publish_host: 10.59.0.138
path.data: /data/data/

然后分别启动,可以使用Head插件查看集群的状态
http://10.59.0.248:9200/_plugin/head/

123

先看集群的状态,集群的状态是”green”,颜色分别表示为:
1 绿色,最健康的状态,代表所有的分片包括备份都可用
2 黄色,基本的分片可用,但是备份不可用(也可能是没有备份)
3 红色,部分的分片可用,表明分片有一部分损坏。此时执行查询部分数据仍然可以查到,遇到这种情况,还是赶快解决比较好。
elasticsearch集群一旦建立起来以后,会选举出一个master,其他都为slave节点。es的一个概念就是去中心化,字面上理解就是无中心节点,这是对于集群外部来说的,因为从外部来看es集群,在逻辑上是个整体,你与任何一个节点的通信和与整个es集群通信是等价的。
elasticsearch关于分区和备份的默认配置为:
index.number_of_shards:5
设置默认索引分片个数,默认为5片。
index.number_of_replicas:1
设置默认索引副本个数,默认为1个副本。
看上面的图片可以看出集群中存在三个Elasticsearch,其中五角星表示主节点,圆表示工作节点。
其次就是索引存储的分配,0~4是5个分片,是默认设置的,因为默认存在一份备份的,所以一天的索引就会有十个分片。仔细看看,对于有的分片周围是粗的线,点击查看发现其实是primary,是true就代表是主数据,检索的时候从这里拿,如果是false的时候就代表是backup的数据。
另外集群的状态和节点也可以通过REST API获取
集群的状态:

[root@localhost ~]#  curl localhost:9200/_cat/health?v
epoch      timestamp cluster      status node.total node.data shards pri relo init unassign pending_tasks max_task_wait_time active_shards_percent 
1492130477 08:41:17  logstash_sec green           3         2     17  16    0    0        0             0                  -                100.0% 

节点Node:

[root@localhost ~]# curl localhost:9200/_cat/nodes?v
host        ip          heap.percent ram.percent load node.role master name   
10.59.0.116 10.59.0.116           42          70 0.24 d         -      node-3 
10.59.0.248 10.59.0.248            5          25 2.84 -         *      node-1 
10.59.0.138 10.59.0.138           10          99 1.26 d         -      node-2

PS:部署的时候碰见报错failed to send join request to master
原因是没有配置network.publish_host

elasticsearch.yml集群配置参数详解

重要的名词:
cluster 
代表一个集群,集群中有多个节点,其中有一个为主节点,这个主节点是可以通过选举产生的,主从节点是对于集群内部来说的。es的一个概念就是去中心化,字面上理解就是无中心节点,这是对于集群外部来说的,因为从外部来看es集群,在逻辑上是个整体,你与任何一个节点的通信和与整个es集群通信是等价的。 
shards 
代表索引分片,es可以把一个完整的索引分成多个分片,这样的好处是可以把一个大的索引拆分成多个,分布到不同的节点上。构成分布式搜索。分片的数量只能在索引创建前指定,并且索引创建后不能更改。 
replicas 
代表索引副本,es可以设置多个索引的副本,副本的作用一是提高系统的容错性,当个某个节点某个分片损坏或丢失时可以从副本中恢复。二是提高es的查询效率,es会自动对搜索请求进行负载均衡。 
recovery 
代表数据恢复或叫数据重新分布,es在有节点加入或退出时会根据机器的负载对索引分片进行重新分配,挂掉的节点重新启动时也会进行数据恢复。 
river 
代表es的一个数据源,也是其它存储方式(如:数据库)同步数据到es的一个方法。它是以插件方式存在的一个es服务,通过读取river中的数据并把它索引到es中,官方的river有couchDB的,RabbitMQ的,Twitter的,Wikipedia的,river这个功能将会在后面的文件中重点说到。 
gateway 
代表es索引的持久化存储方式,es默认是先把索引存放到内存中,当内存满了时再持久化到硬盘。当这个es集群关闭再重新启动时就会从gateway中读取索引数据。es支持多种类型的gateway,有本地文件系统(默认),分布式文件系统,Hadoop的HDFS和amazon的s3云存储服务。 
discovery.zen 
代表es的自动发现节点机制,es是一个基于p2p的系统,它先通过广播寻找存在的节点,再通过多播协议来进行节点之间的通信,同时也支持点对点的交互。 
Transport 
代表es内部节点或集群与客户端的交互方式,默认内部是使用tcp协议进行交互,同时它支持http协议(json格式)、thrift、servlet、memcached、zeroMQ等的传输协议(通过插件方式集成)。
具体的配置:
cluster.name:elasticsearch
配置es的集群名称,默认是elasticsearch,es会自动发现在同一网段下的es,如果在同一网段下有多个集群,就可以用这个属性来区分不同的集群。

node.name:"FranzKafka"
节点名,默认随机指定一个name列表中名字,该列表在es的jar包中config文件夹里name.txt文件中,其中有很多作者添加的有趣名字。

node.master:true
指定该节点是否有资格被选举成为node,默认是true,es是默认集群中的第一台机器为master,如果这台机挂了就会重新选举master。

node.data:true
指定该节点是否存储索引数据,默认为true。

index.number_of_shards:5
设置默认索引分片个数,默认为5片。

index.number_of_replicas:1
设置默认索引副本个数,默认为1个副本。

path.conf:/path/to/conf
设置配置文件的存储路径,默认是es根目录下的config文件夹。

path.data:/path/to/data
设置索引数据的存储路径,默认是es根目录下的data文件夹,可以设置多个存储路径,用逗号隔开,例:
path.data:/path/to/data1,/path/to/data2

path.work:/path/to/work
设置临时文件的存储路径,默认是es根目录下的work文件夹。

path.logs:/path/to/logs
设置日志文件的存储路径,默认是es根目录下的logs文件夹

path.plugins:/path/to/plugins
设置插件的存放路径,默认是es根目录下的plugins文件夹

bootstrap.mlockall:true
设置为true来锁住内存。因为当jvm开始swapping时es的效率会降低,所以要保证它不swap,可以把ES_MIN_MEM和ES_MAX_MEM两个环境变量设置成同一个值,并且保证机器有足够的内存分配给es。同时也要允许elasticsearch的进程可以锁住内存,linux下可以通过`ulimit-l unlimited`命令。

network.bind_host:192.168.0.1
设置绑定的ip地址,可以是ipv4或ipv6的,默认为0.0.0.0。

network.publish_host:192.168.0.1
设置其它节点和该节点交互的ip地址,如果不设置它会自动判断,值必须是个真实的ip地址。

network.host:192.168.0.1
这个参数是用来同时设置bind_host和publish_host上面两个参数。

transport.tcp.port:9300
设置节点间交互的tcp端口,默认是9300。

transport.tcp.compress:true
设置是否压缩tcp传输时的数据,默认为false,不压缩。

http.port:9200
设置对外服务的http端口,默认为9200。

http.max_content_length:100mb
设置内容的最大容量,默认100mb

http.enabled:false
是否使用http协议对外提供服务,默认为true,开启。

gateway.type:local
gateway的类型,默认为local即为本地文件系统,可以设置为本地文件系统,分布式文件系统,hadoop的HDFS,和amazon的s3服务器,其它文件系统的设置方法下次再详细说。

gateway.recover_after_nodes:1
设置集群中N个节点启动时进行数据恢复,默认为1。

gateway.recover_after_time:5m
设置初始化数据恢复进程的超时时间,默认是5分钟。

gateway.expected_nodes:2
设置这个集群中节点的数量,默认为2,一旦这N个节点启动,就会立即进行数据恢复。

cluster.routing.allocation.node_initial_primaries_recoveries:4
初始化数据恢复时,并发恢复线程的个数,默认为4。

cluster.routing.allocation.node_concurrent_recoveries:2
添加删除节点或负载均衡时并发恢复线程的个数,默认为4。

indices.recovery.max_size_per_sec:0
设置数据恢复时限制的带宽,如入100mb,默认为0,即无限制。

indices.recovery.concurrent_streams:5
设置这个参数来限制从其它分片恢复数据时最大同时打开并发流的个数,默认为5。

discovery.zen.minimum_master_nodes:1
设置这个参数来保证集群中的节点可以知道其它N个有master资格的节点。默认为1,对于大的集群来说,可以设置大一点的值(2-4)

discovery.zen.ping.timeout:3s
设置集群中自动发现其它节点时ping连接超时时间,默认为3秒,对于比较差的网络环境可以高点的值来防止自动发现时出错。

discovery.zen.ping.multicast.enabled:false
设置是否打开多播发现节点,默认是true。

discovery.zen.ping.unicast.hosts:[“host1”, “host2:port”,”host3[portX-portY]”]
设置集群中master节点的初始列表,可以通过这些节点来自动发现新加入集群的节点

CentOS下ELK安装部署

下载地址:https://www.elastic.co/downloads
1)JDK

yum -y install java-1.7.0-openjdk*
[root@server120 elasticsearch]# java -version
java version "1.7.0_101"
OpenJDK Runtime Environment (rhel-2.6.6.4.el6_8-x86_64 u101-b00)
OpenJDK 64-Bit Server VM (build 24.95-b01, mixed mode)

2)ElasticSearch
ElasticSearch是一个基于Lucene构建的开源,分布式,RESTful搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。支持通过HTTP使用JSON进行数据索引。

[root@server120 opt]# wget https://download.elastic.co/elasticsearch/release/org/elasticsearch/distribution/tar/elasticsearch/2.3.3/elasticsearch-2.3.3.tar.gz
[root@server120 opt]# tar zxvf elasticsearch-2.3.3.tar.gz
[root@server120 opt]# mv elasticsearch-2.3.3/ elasticsearch/

因为在2.x版本强调了安全性,不允许root账户启动,这里是测试,我们修改一下配置文件,然后root启动。
在bin目录修改elasticsearch.in.sh文件,添加如下配置项:

JAVA_OPTS="$JAVA_OPTS -Des.insecure.allow.root=true"

当然强烈不推荐root账户运行。

[vincent@server120 elasticsearch]$ ./bin/elasticsearch

使用 ./bin/elasticsearch -d后台启动

[root@server120 opt]# curl http://localhost:9200
{
"name" : "Postmortem",
"cluster_name" : "elasticsearch",
"version" : {
"number" : "2.3.3",
"build_hash" : "218bdf10790eef486ff2c41a3df5cfa32dadcfde",
"build_timestamp" : "2016-05-17T15:40:04Z",
"build_snapshot" : false,
"lucene_version" : "5.5.0"
},
"tagline" : "You Know, for Search"
}

3)Logstash
Logstash是一款轻量级的日志搜集处理框架,可以方便的把分散的、多样化的日志搜集起来,并进行自定义的处理,然后传输到指定的位置。

[root@server120 opt]# wget https://download.elastic.co/logstash/logstash/logstash-2.3.3.tar.gz
[root@server120 opt]# tar zxvf logstash-2.3.3.tar.gz
[root@server120 opt]# mv logstash-2.3.3 logstash

使用-e 参数,该参数允许Logstash直接通过命令行接受设置。测试一下:

[root@server120 opt]# ./logstash/bin/logstash -e 'input{stdin{}}output{stdout{codec=>rubydebug}}'
hello world
Settings: Default pipeline workers: 8
Pipeline main started
{
"message" => "hello world",
"@version" => "1",
"@timestamp" => "2016-07-06T02:51:14.091Z",
"host" => "0.0.0.0"
}

创建配置文件,将内容写入到ElasticSearch。

[root@server120 opt]# mkdir logstash/etc/
[root@server120 opt]# vim logstash/etc/test.conf
input {
stdin {
type => "human"
}
}

output {
stdout {
codec => rubydebug
}

elasticsearch {
hosts => "127.0.0.1:9200"
}
}
[root@server120 opt]# ./logstash/bin/logstash -f logstash/etc/test.conf

然后我们输入hello
4)Kibana
Kibana 是一个为 Logstash 和 ElasticSearch 提供的日志分析的 Web 接口。可使用它对日志进行高效的搜索、可视化、分析等各种操作。

[root@server120 opt]# wget https://download.elastic.co/kibana/kibana/kibana-4.5.1-linux-x64.tar.gz
[root@server120 kibana]# tar zxvf kibana-4.5.1-linux-x64.tar.gz
[root@server120 opt]# mv kibana-4.5.1-linux-x64 kibana
[root@server120 opt]# vim kibana/config/kibana.yml

将该行的注释去掉

elasticsearch.url: "http://localhost:9200"

修改ElasticSearch的配置文件,追加一行内容

[root@server120 opt]# vim /opt/elasticsearch/config/elasticsearch.yml
http.cors.enabled: true

重启ElasticSearch服务。

[root@server120 opt]# ./kibana/bin/kibana
log [09:18:17.785] [info][status][plugin:kibana] Status changed from uninitialized to green - Ready
log [09:18:17.828] [info][status][plugin:elasticsearch] Status changed from uninitialized to yellow - Waiting for Elasticsearch
log [09:18:17.845] [info][status][plugin:kbn_vislib_vis_types] Status changed from uninitialized to green - Ready
log [09:18:17.851] [info][status][plugin:markdown_vis] Status changed from uninitialized to green - Ready
log [09:18:17.861] [info][status][plugin:metric_vis] Status changed from uninitialized to green - Ready
log [09:18:17.880] [info][status][plugin:spyModes] Status changed from uninitialized to green - Ready
log [09:18:17.885] [info][status][plugin:statusPage] Status changed from uninitialized to green - Ready
log [09:18:17.894] [info][status][plugin:table_vis] Status changed from uninitialized to green - Ready
log [09:18:17.931] [info][listening] Server running at http://0.0.0.0:5601
log [09:18:22.960] [info][status][plugin:elasticsearch] Status changed from yellow to yellow - No existing Kibana index found
log [09:18:26.541] [info][status][plugin:elasticsearch] Status changed from yellow to green - Kibana index ready