Elasticsearch高级调优方法论之——根治慢查询！

1、引言

2、Elasticsearch慢查询六大症状及解决方案

2.1 症状1：非活动（检索/写入）状态资源利用率也非常高

2.1.1 问题描述

2.1.2 解决方案

• 1、部署之前，设计先行。
  正如VIVO搜索技术总监振涛兄所说：“集群规划核心是容量预估，就好比你建个楼，必须规划好容量，不然说用多少就建多高，吃在地基撑不住！！”。
  任何部署的良好开端都是执行适当的容量规划，以帮助确定每个搜索用例的最佳分片数。
• 2、减少分片数，实施冻结索引或添加其他节点以实现负载均衡。
• 3、考虑冷热数据分离架构（适用于基于时间的索引）以及Elasticsearch中的翻转索引（rollover）/压缩索引（shrink）功能，以有效管理分片计数。

2.2 症状2：线程池存在大量rejected

2.2.1 问题描述

2.2.2 解决方案

2.3 症状3：高CPU和索引化延迟

2.3.2 解决方案

2.4 症状4：副本增加后延时增大

2.4.1 问题描述

2.4.2 解决方案

2.5 症状5：共享硬件资源时的高资源利用率。

2.5.1 问题描述

2.5.2 解决方案

2.6 症状6：聚合N多唯一值引起的高内存使用率

2.6.1 问题原因

• 高基数——列中有很多唯一值（），如主键
• 低基数——与之相反，如性别列（只有男、女）。

2.6.2 解决方案

3 偶发慢查询解决方案

3.1 偶发慢查询关联监控指标

• 1）CPU负载
• 2）索引吞吐量
• 3）搜索吞吐量
• 4）垃圾收集（GC）活动
• 5）搜索线程池队列大小

3.2 ARS提升检索吞吐率

4 非偶发慢查询解决方案

4.1 “拆解DSL”排查慢查询根源

• 1）没有高亮显示它仍然很慢吗？
• 2）没有聚合，它仍然很慢吗？
• 3）如果size设置为0，它仍然很慢吗？
  当size设置为0时，Elasticsearch会缓存搜索请求的结果，以便更快地进行搜索

4.2 参考官方搜索优化建议，看是否凑效？

4.3 慢查询排除实践

• 1）启用"profile:true"。

• 2）查看节点的热点线程。

• 3）使用kibana可视化profile分析工具

5 捕获慢查询、耗费资源查询

5.1 慢查询、耗费资源查询难捕获

5.2 dump堆内存分析

5.3 Elasticsearch的保护设置

5.4 断路器设置

5.5 慢日志分析

• 1）查询需要多长时间？
• 2）查询请求正文的内容是什么？

5.6 日志审计（高阶功能，低版本非付费会员建议跳过）

• 1）查询是什么时候发生的？
• 2）谁执行了查询？
• 3）查询的内容是什么？

• 1）启用安全审计日志：
  在elasticsearch.yml中设置
  xpack.security.audit.enabled：true。
• 2）在安全审计输出中启用日志或索引：
  在elasticsearch.yml中设置
  xpack.security.audit.outputs：[logfile，index]。

• 3）在事件列表中包含authentication_success访问权限
  在elasticsearch.yml中设置
  xpack.security.audit.logfile.events.include: authentication_success

6、小结