前言
在采用ELK分布式日志采集平台的时候,一般都会采用ES来存储采集的日志信息。日志信息一般都是持续增长的,是典型的时序数据。
如果不对采集的日志数据做生命周期管理,很容易导致单个索引体积持续增长、查询速度越来越慢、过期的日志信息浪费空间等问题。
本节主要介绍如果通过ES中的索引生命周期管理机制ILM来实现对日志数据的管理。
一、说明
es可以用来存储日志,一般日志存储只是短期保存,超过一定时间日志要是能自动删除最好,这样保证索引文档不会过多,查询时效性也能得到保证。
索引的生命周期分为四个阶段:HOT->WARM->COLD->Frozen->DELETE。
上面除了HOT为必须的阶段外,其他为非必须阶段,可以任意选择配置。
因为日志索引只要满足自己删除功能,所以下文只配置了HOT与DELETE阶段。
三步实现完成es生命周期管理:
配置策略(policy)->索引模版(template)->索引(index)
二、实战
1.配置策略
说明:
创建策略log_policy,包含2个阶段hot和delete。
hot阶段:数据写入首先进入hot阶段,包含一个回滚的动作,当记录条数达到3时滚动一次,创建一个新的后备索引。
delete阶段:滚动发送后30s,执行删除动作。
PUT _ilm/policy/log_policy
{
"policy": {
"phases": {
"hot": {
"actions": {
"rollover": {
"max_docs":3
}
}
},
"delete": {
"min_age": "30s",
"actions": {
"delete": {}
}
}
}
}
}
2.创建索引模板
PUT _index_template/log_template
{
"index_patterns": ["log"],
"data_stream": { },
"template": {
"settings": {
"number_of_shards": 1,
"number_of_replicas": 1,
"index.lifecycle.name": "log_policy"
}
}
}
参数说明:
index_patterns 索引匹配模式
data_stream 声明是一个数据流
template 配置模板的settings和mappings属性
index.lifecycle.name 生命周期策略名称,最核心的属性,要和上文定义的生命周期名称保持一致。
3.创建索引模板
方式一:创建并添加数据
创建数据流timeseries,同时向数据流中写入一条数据。数据中必须包含@timestamp字段信息
POST log/_doc
{
"message": "logged the request",
"@timestamp": "1633677855467"
}
方式二:仅创建数据流
PUT _data_stream/log
注意⚠️:
1、数据流名称必须和索引模板中的index_patterns匹配。
2、写入的数据中必须包含@timestamp字段信息
4.获取数据流信息
GET _data_stream/log
结果:
generation 第一代,说明还没有执行滚动
template 采用的索引模板为log_template
ilm_policy 采用的生命周期管理策略为log_policy
{
"data_streams" : [
{
"name" : "log",
"timestamp_field" : {
"name" : "@timestamp"
},
"indices" : [
{
"index_name" : ".ds-log-000001",
"index_uuid" : "kRMp8y_2SYyw0mh1Sm713A"
}
],
"generation" : 1,
"status" : "YELLOW",
"template" : "log_template",
"ilm_policy" : "log_policy"
}
]
}5.生命周期信息拉取频率
集群参数indices.lifecycle.poll_interval 用来控制索引生命周期管理检查符合策略标准的索引的频率,默认为10m。
所以在索引生命周期策略中配置的动作和条件,并不是即使触发的,而且定期检查触发。
打个比方:
尽管在策略中设置了hot阶段索引中数据记录大于3条就进行滚动,但其实并不是超过3条就立刻进行滚动。而且ES集群定期检查,当发现索引满足滚动条件后才进行滚动操作。
这里为了方便验证,将检查频率改为10s。
PUT /_cluster/settings
{
"transient": {
"indices.lifecycle.poll_interval": "10s"
}
}
6.验证
向数据流中写入4条记录,查看数据流生命周期的变化情况。
GET .ds-log-*/_ilm/explain
结果:
{
"indices" : {
".ds-log-000001" : {
"index" : ".ds-log-000001",
"managed" : true,
"policy" : "log_policy",
"lifecycle_date_millis" : 1633763085182,
"age" : "4.06m",
"phase" : "hot",
"phase_time_millis" : 1633763085834,
"action" : "rollover",
"action_time_millis" : 1633763096800,
"step" : "check-rollover-ready",
"step_time_millis" : 1633763096800,
"phase_execution" : {
"policy" : "log_policy",
"phase_definition" : {
"min_age" : "0ms",
"actions" : {
"rollover" : {
"max_docs" : 3
}
}
},
"version" : 1,
"modified_date_in_millis" : 1633762512190
}
}
}
}添加数据:
PUT log/_bulk?refresh
{ "create":{ } }
{"message": "logged the request1","@timestamp": "1633677862467"}
{ "create":{ } }
{"message": "logged the request2","@timestamp": "1633677872468"}
{ "create":{ } }
{"message": "logged the request3","@timestamp": "1633682619628"}
{ "create":{ } }
{"message": "logged the request4","@timestamp": "1633682619628"}
再次查看索引生命周期情况:
GET .ds-log-*/_ilm/explain
执行结果:
{
"indices" : {
".ds-log-000001" : {
"index" : ".ds-log-000001",
"managed" : true,
"policy" : "log_policy",
"lifecycle_date_millis" : 1633763525979,
"age" : "11.91s",
"phase" : "hot",
"phase_time_millis" : 1633763085834,
"action" : "complete",
"action_time_millis" : 1633763528120,
"step" : "complete",
"step_time_millis" : 1633763528120,
"phase_execution" : {
"policy" : "log_policy",
"phase_definition" : {
"min_age" : "0ms",
"actions" : {
"rollover" : {
"max_docs" : 3
}
}
},
"version" : 1,
"modified_date_in_millis" : 1633762512190
}
},
".ds-log-000002" : {
"index" : ".ds-log-000002",
"managed" : true,
"policy" : "log_policy",
"lifecycle_date_millis" : 1633763525996,
"age" : "11.89s",
"phase" : "delete",
"phase_time_millis" : 1633763527252,
"action" : "rollover",
"action_time_millis" : 1633763536853,
"step" : "check-rollover-ready",
"step_time_millis" : 1633763536853,
"phase_execution" : {
"policy" : "log_policy",
"phase_definition" : {
"min_age" : "0ms",
"actions" : {
"rollover" : {
"max_docs" : 3
}
}
},
"version" : 1,
"modified_date_in_millis" : 1633762512190
}
}
}
}过段时间再次查看,发现只有ds-log-000002。ds-log-000001已经被删除。
{
"indices" : {
".ds-log-000002" : {
"index" : ".ds-log-000002",
"managed" : true,
"policy" : "log_policy",
"lifecycle_date_millis" : 1633763696125,
"age" : "1.45m",
"phase" : "hot",
"phase_time_millis" : 1633763697292,
"action" : "rollover",
"action_time_millis" : 1633763706877,
"step" : "check-rollover-ready",
"step_time_millis" : 1633763706877,
"phase_execution" : {
"policy" : "log_policy",
"phase_definition" : {
"min_age" : "0ms",
"actions" : {
"rollover" : {
"max_docs" : 3
}
}
},
"version" : 1,
"modified_date_in_millis" : 1633762512190
}
}
}
}说明:
执行结果说明,随着日志数据的写入,log索引能够自动滚动生存新的索引,滚动操作后超过30s的索引数据会被删除。
注意⚠️:
索引生命周期管理,控制的粒度是索引级别,而不是索引记录级别。
所以采用_bulk指令批量写入数据时,都是向当前的最新的写索引写入数据。不会出现写了3条数据就自动触发滚动然后向新的索引写入第4条的情况。
查询的时候也会发现所有的数据都是在索引ds-log-000001中。
当触发delete阶段的删除操作后,会直接删除满足条件的整个ds-log-000001。不会说只删除3条,还有一条保留在ds-log-000002中的情况。
总结
本文主要介绍了通过索引生命周期管理ILM机制实现对日志数据的生命周期的自动化管理。
1、索引生命周期管理的控制粒度是索引级别,而不是索引记录级别。
2、索引生命周期的触发并不是实时的,而是定时周期触发检查机制,检查频率大小由indices.lifecycle.poll_interval控制。
3、日志数据满足时序数据、连续不断持续增长,只读属性的特点,适合采用数据流保存。