使用限制

• ES訪問(wèn)日志：僅6.7.0及7.10版本的實(shí)例支持在控制臺(tái)查看ES訪問(wèn)日志。

• 審計(jì)日志：僅以下地域的7.x及以上版本實(shí)例支持在控制臺(tái)查看審計(jì)日志。

  國(guó)家或大區(qū)	地域
  中國(guó)	華北2（北京）、華東1（杭州）、華東2（上海）、華北3（張家口）
  亞太	新加坡、馬來(lái)西亞（吉隆坡）、印度尼西亞（雅加達(dá)）、日本（東京）
  歐洲與美洲	美國(guó)（弗吉尼亞）、美國(guó)（硅谷）、德國(guó)（法蘭克福）、英國(guó)（倫敦）

• 異步寫入日志：僅華北2（北京）地域下，6.7版本開(kāi)啟了異步寫入高可用特性的實(shí)例支持在控制臺(tái)查看異步寫入日志。

  重要

  目前6.7版本實(shí)例已不再支持開(kāi)啟寫入高可用特性，僅存量已開(kāi)啟寫入高可用特性的實(shí)例可在控制臺(tái)查看異步寫入日志。

操作步驟

1. 登錄阿里云Elasticsearch控制臺(tái)。
2. 在左側(cè)導(dǎo)航欄，單擊Elasticsearch實(shí)例。
3. 進(jìn)入目標(biāo)實(shí)例。
   1. 在頂部菜單欄處，選擇資源組和地域。
   2. 在Elasticsearch實(shí)例中單擊目標(biāo)實(shí)例ID。

4. 在左側(cè)導(dǎo)航欄，單擊日志查詢，查看集群的運(yùn)行日志。

   阿里云Elasticsearch主要支持的日志類型包括：主日志、Searching慢日志、Indexing慢日志、GC日志、ES訪問(wèn)日志、異步寫入日志和審計(jì)日志，各類日志的說(shuō)明和使用場(chǎng)景如下，更多詳細(xì)信息請(qǐng)參見(jiàn)日志說(shuō)明。

   日志類型	說(shuō)明	使用場(chǎng)景
   主日志	集群的健康運(yùn)行狀態(tài)及索引查詢寫入日志。例如，寫入相關(guān)日志包含創(chuàng)建索引、更新索引mapping和寫入隊(duì)列打滿等日志；查詢相關(guān)日志包含查詢隊(duì)列和查詢異常等日志。	當(dāng)您需要查看集群中各節(jié)點(diǎn)的運(yùn)行狀況及查詢寫入情況，例如節(jié)點(diǎn)之間的連通性、Full GC情況、創(chuàng)建或刪除索引情況、集群級(jí)別的查詢報(bào)錯(cuò)等信息時(shí)，可查看主日志進(jìn)行排查。 重要 如果您的業(yè)務(wù)側(cè)出現(xiàn)問(wèn)題，建議優(yōu)先查看主日志和集群監(jiān)控，排除集群自身的性能瓶頸或配置問(wèn)題。
   Searching慢日志	慢查詢?nèi)罩尽．?dāng)查詢耗時(shí)超過(guò)指定閾值時(shí)，將在慢查詢?nèi)罩局写蛴∠嚓P(guān)信息。慢查詢閾值已在場(chǎng)景化模板的索引模板中配置，默認(rèn)情況下已是最優(yōu)，只需一鍵應(yīng)用即可，詳細(xì)信息請(qǐng)參見(jiàn)索引模板配置。	當(dāng)您的業(yè)務(wù)出現(xiàn)查詢耗時(shí)久的情況時(shí)，可查看Searching慢日志進(jìn)行排查。 查詢耗時(shí)越久，集群資源消耗越大。當(dāng)日志存在大量的慢日志，請(qǐng)排查集群資源及負(fù)載情況，獲取瓶頸項(xiàng)，根據(jù)瓶頸項(xiàng)及時(shí)擴(kuò)充對(duì)應(yīng)資源或使用集群限流插件（aliyun-qos）進(jìn)行限流，以保證集群的穩(wěn)定性。
   Indexing慢日志	慢寫入日志。當(dāng)寫入耗時(shí)超過(guò)指定閾值時(shí)，將在慢寫入日志中打印相關(guān)信息。慢寫入閾值已在場(chǎng)景化模板的索引模板中配置，默認(rèn)情況下已是最優(yōu)，只需一鍵應(yīng)用即可，詳細(xì)信息請(qǐng)參見(jiàn)索引模板配置。	當(dāng)您的業(yè)務(wù)出現(xiàn)寫入耗時(shí)久的情況時(shí)，可查看Indexing慢日志進(jìn)行排查。 寫入耗時(shí)越久，對(duì)集群的資源消耗越大。當(dāng)日志存在大量的慢日志，請(qǐng)排查集群資源及負(fù)載情況，獲取瓶頸項(xiàng)，根據(jù)瓶頸項(xiàng)及時(shí)擴(kuò)充對(duì)應(yīng)資源或使用集群限流插件（aliyun-qos）進(jìn)行限流，以保證集群的穩(wěn)定性。
   GC日志	垃圾回收器日志。顯示所有JVM堆內(nèi)存占用觸發(fā)的垃圾回收情況，通過(guò)GC日志可獲取詳細(xì)的垃圾回收信息，包括Old GC、CMS GC、Full GC以及Minor GC等回收機(jī)制。	當(dāng)集群出現(xiàn)性能瓶頸時(shí)，可通過(guò)GC日志獲取詳細(xì)的GC回收信息，查看是否存在耗時(shí)長(zhǎng)或操作頻繁的GC。如果存在，需要及時(shí)擴(kuò)充集群資源或使用集群限流插件（aliyun-qos）進(jìn)行限流，以保證集群的穩(wěn)定性。 重要 默認(rèn)情況下，阿里云Elasticsearch集群使用CMS回收器，而當(dāng)數(shù)據(jù)節(jié)點(diǎn)內(nèi)存大于等于32 GB時(shí)，建議使用G1回收器，以提高GC回收效率。詳細(xì)信息請(qǐng)參見(jiàn)配置垃圾回收器。
   ES訪問(wèn)日志	集群的訪問(wèn)日志。顯示Elasticsearch集群接收到restSearchAction相關(guān)請(qǐng)求的詳細(xì)信息，包括uri、bodySize、請(qǐng)求時(shí)間等。 重要 僅6.7.0及7.10版本的實(shí)例支持在控制臺(tái)查看ES訪問(wèn)日志。 ES訪問(wèn)日志不支持以下查詢場(chǎng)景日志：SQL查詢、multi查詢、 scroll查詢、Kibana部分可視化工具觸發(fā)的查詢。 如果您想獲取更完善的查詢寫入請(qǐng)求信息，建議開(kāi)啟審計(jì)日志，詳情請(qǐng)參見(jiàn)配置Auditlog（審計(jì)日志）。	當(dāng)您需要排查哪些客戶端在向Elasticsearch集群發(fā)送查詢請(qǐng)求時(shí)，可通過(guò)ES訪問(wèn)日志獲取。
   異步寫入日志	當(dāng)集群開(kāi)啟異步寫入高可用特性時(shí)，可以通過(guò)異步寫入高可用架構(gòu)實(shí)現(xiàn)讀寫分離。同時(shí)，異步寫入高可用特性加入了服務(wù)代理和消息隊(duì)列等組件，異步寫入日志用來(lái)記錄對(duì)應(yīng)服務(wù)的狀態(tài)及數(shù)據(jù)寫入日志。 重要 僅華北2（北京）地域下，6.7版本且開(kāi)啟了異步寫入高可用特性的實(shí)例支持控制臺(tái)查看異步寫入日志。 目前6.7版本實(shí)例已不再支持開(kāi)啟寫入高可用特性，僅存量已開(kāi)啟寫入高可用特性的實(shí)例可在控制臺(tái)查看異步寫入日志。	當(dāng)您使用寫入高可用功能需要排查該部分組件服務(wù)的狀態(tài)和集群數(shù)據(jù)寫入問(wèn)題時(shí)，可通過(guò)異步寫入日志排查分析。
   審計(jì)日志	Elasticsearch實(shí)例對(duì)應(yīng)的增、刪、改、查等操作產(chǎn)生的審計(jì)日志。 重要 僅使用限制中所列地域的7.x及以上版本實(shí)例支持在控制臺(tái)查看審計(jì)日志。其他實(shí)例需要在YML配置中開(kāi)啟審計(jì)日志，開(kāi)啟后審計(jì)日志會(huì)以索引形式寫入當(dāng)前的Elasticsearch集群中，您可以在Kibana控制臺(tái)上查看.security_audit_log-*開(kāi)頭的索引來(lái)查看審計(jì)日志。詳細(xì)信息請(qǐng)參見(jiàn)配置YML參數(shù)。 在控制臺(tái)上查看審計(jì)日志前，需要先單擊日志設(shè)置開(kāi)啟審計(jì)日志采集。 審計(jì)日志默認(rèn)采集的事件類型為access_denied, anonymous_access_denied, authentication_failed, connection_denied, tampered_request, run_as_denied, run_as_granted，如果您需要修改采集的審計(jì)事件類型，需要修改集群的YML文件中的xpack.security.audit.logfile.events.include參數(shù)，詳細(xì)信息請(qǐng)參見(jiàn)配置Auditlog（審計(jì)日志）。	當(dāng)您出現(xiàn)身份驗(yàn)證失敗、拒絕連接、需要查看數(shù)據(jù)訪問(wèn)事件以及發(fā)現(xiàn)集群存在可疑活動(dòng)（例如數(shù)據(jù)訪問(wèn)授權(quán)和用戶安全配置更改）的情況時(shí)，可通過(guò)查看審計(jì)日志進(jìn)行排查分析。

5. 在日志頁(yè)面的搜索框中，輸入查詢條件，選擇開(kāi)始時(shí)間和結(jié)束時(shí)間，單擊搜索。

   搜索成功后，阿里云Elasticsearch會(huì)根據(jù)您的查詢條件返回日志查詢結(jié)果，并展示在日志查詢頁(yè)面。

   • 阿里云Elasticsearch最多支持查詢連續(xù)7天內(nèi)的日志，日志默認(rèn)按時(shí)間倒序展示。

   • 支持基于Lucene的日志查詢語(yǔ)法，詳情請(qǐng)參見(jiàn)Query string syntax。

   • 查詢條件中的AND必須為大寫。

   • 如果結(jié)束時(shí)間為空，那么結(jié)束時(shí)間默認(rèn)為當(dāng)前時(shí)間。如果開(kāi)始時(shí)間為空，那么開(kāi)始時(shí)間默認(rèn)為結(jié)束時(shí)間減去1小時(shí)。

   以查詢content包含關(guān)鍵字health，level為info，host為172.16.xx.xx的主日志為例，示例查詢條件為：host:172.16.xx.xx AND content:health AND level:info。

   重要

   • 阿里云Elasticsearch最多支持返回10000條日志。

     如果在返回的10000條日志中，未覆蓋到您所需要的日志內(nèi)容，可以通過(guò)縮短查詢時(shí)間范圍來(lái)獲取需要的日志。

   • 阿里云Elasticsearch單條日志最多展示10000個(gè)字符。

日志說(shuō)明

主日志

慢日志

慢日志默認(rèn)開(kāi)啟，主要展示超過(guò)指定時(shí)間閾值的索引（Indexing慢日志）和查詢（Searching慢日志）日志。在集群負(fù)載不均、讀寫異常、處理數(shù)據(jù)很慢等情況下，您可以通過(guò)查詢慢日志來(lái)分析具體原因。

GC日志

ES訪問(wèn)日志

審計(jì)日志

審計(jì)日志主要展示Elasticsearch實(shí)例對(duì)應(yīng)的增、刪、改、查等操作產(chǎn)生的日志。默認(rèn)關(guān)閉，您可以通過(guò)以下步驟開(kāi)啟并查看審計(jì)日志：

1. 在日志查詢頁(yè)面，單擊右側(cè)的日志設(shè)置。

2. 在日志設(shè)置對(duì)話框中，打開(kāi)審計(jì)日志采集開(kāi)關(guān)。

   重要

   • 開(kāi)啟審計(jì)日志采集后，您可以在當(dāng)前頁(yè)面查詢到該集群的審計(jì)日志。如果您需要修改采集的審計(jì)事件類型，請(qǐng)前往集群配置修改xpack.security.audit.logfile.events.include參數(shù)配置，詳細(xì)信息請(qǐng)參見(jiàn)配置Auditlog（審計(jì)日志）。

   • 開(kāi)啟或關(guān)閉審計(jì)日志采集會(huì)觸發(fā)集群重啟。目前阿里云Elasticsearch集群重啟是采用滾動(dòng)重啟的方式。在集群狀態(tài)正常（綠色）、索引至少包含1個(gè)副本的情況下，如果資源使用率也不是特別高，那么集群在重啟期間能夠持續(xù)提供服務(wù)。但建議在業(yè)務(wù)低峰期操作。

3. 選中操作提示，單擊確認(rèn)。

   確認(rèn)后，集群會(huì)進(jìn)行重啟。重啟過(guò)程中，可在任務(wù)列表查看進(jìn)度。重啟成功后，即可開(kāi)啟審計(jì)日志采集。

   重要

   審計(jì)日志信息會(huì)占用您的磁盤空間，同時(shí)也會(huì)影響性能。如果您不需要查看審計(jì)日志，可使用同樣的方式關(guān)閉審計(jì)日志采集功能。

4. 在日志查詢頁(yè)面，單擊審計(jì)日志頁(yè)簽，查看審計(jì)日志。

   

相關(guān)文檔

ListSearchLog

常見(jiàn)問(wèn)題

• ES支持設(shè)置.security日志的保存時(shí)間嗎？

• ES如何將日志保存到本地？

• 查看不到ES的查詢和更新日志，如何處理？

• 如何配置和查看ES實(shí)例的慢日志？

• 如何通過(guò)程序定期獲取ES實(shí)例的慢日志？