【ELK 学习】ElasticSearch

ELK：ElasticSearch存储，Logstash收集，Kibana展示

版本较多，使用时需要版本匹配，还需要和mysql版本匹配（elastic官网给了版本对应关系）

本次使用的版本es6.8.12

filebeat 轻量级的数据收集工具

ElasticSearch为文档搜索产生的

分布式文档搜索，lucene单线程搜索的组合

ElasticSearch 除了java也支持python

0.作用

大数据时代产生的应用：

1.分布式存储：hdfs

2.分布式计算：

离线计算：MapReduce、hive

实时计算：spark、Flink

3.分布式搜索引擎：ElasticSearch

海量数据、近实时处理

1. 核心概念

Index，Type，Document

对应到数据库：

数据库database=Index

表table=Type

一条记录row=Document

Index下面可以存储不同的type，但是大部分要相同，type是作为一个字段存储的（7.0之后不建议使用)

8.0之后一个index只能存储相同 type 的数据

shard，replica

hdfs的存储是物理切块（block）

primary shard 切片存储

replica shard 容错存储，每个切片都有一个容错副本

切片自己和容错存在不同的服务器（节点）上（部署集群）

2. 下载安装

windows版本

bin目录下，elasticsearch.bat点击启动

3. es的基本操作

Elasticsearch提供了基于JSON的DSL来定义查询
DSL语法
常用指令1
常用指令2

获取所有_cat命令

curl -X GET localhost:9200/_cat

检查集群健康状况

curl -X GET localhost:9200/_cat/health?v

epoch: 时间戳的 Unix 时间戳格式，表示快照生成的时间。

timestamp: 可读性更强的时间戳格式，表示快照生成的时间（08:06:34）。

cluster: Elasticsearch 集群的名称，这里是 "es-cluster"。

status: 集群的健康状态，这里是 "yellow"。Elasticsearch 集群状态通常有三种：green（绿色，健康），yellow（黄色，部分健康），red（红色，不健康）。"yellow" 状态表示集群中的某些副本不可用，但主分片是可用的。

node.total: 集群中节点的总数，这里是 1 个节点。

node.data: 充当数据节点的节点数，这里是 1 个节点。

shards: 集群中分片的总数，这里是 98 个分片。

pri: 主分片（primary shard）的数量，这里是 98 个主分片。

relo: 正在进行重新定位的分片数量，这里是 0。

init: 初始化的分片数量，这里是 0。

unassign: 未分配的分片数量，这里是 27。

pending_tasks: 挂起的任务数，这里是 0。

max_task_wait_time: 最大任务等待时间，这里是没有具体数值。

active_shards_percent: 活动分片的百分比，这里是 78.4%。这表示在集群中，有 78.4% 的分片是活动的，而剩下的可能是不可用或者正在恢复的。

查看es节点信息

curl -X GET localhost:9200/_cat/nodes?v

ip: 节点的IP地址，这里是"192.168.52.11"。

heap.percent: 节点的堆内存使用百分比，这里是67%。

ram.percent: 节点的系统内存使用百分比，这里是98%。

cpu: 节点的CPU使用率，这里是10%。

load_1m: 1分钟负载平均值，这里是0.69。

load_5m: 5分钟负载平均值，这里是0.36。

load_15m: 15分钟负载平均值，这里是0.50。

node.role: 节点的角色，这里是""，表示这是一个主节点（master node）。
master: 指示该节点是否是主节点，这里是" "，表示它是主节点。

name: 节点的名称，这里是"node-1"。

查看es指定节点信息

curl -X GET localhost:9200/_nodes/node-1?pretty=true

4. 索引

查看es中所有的索引

curl -X GET localhost:9200/_cat/indices?v

health: 索引的健康状态，这里是 "yellow"。Elasticsearch 索引的健康状态有三种：green（绿色，健康），yellow（黄色，部分健康），red（红色，不健康）。"yellow" 状态表示索引的某些分片处于未分配状态，但主分片是可用的。

status: 索引的状态，这里是 "open"。这表示索引处于打开状态，可以进行读取和写入操作。

index: 索引的名称，这里是 "nginx-access-log-2023.09.13"。

uuid: 索引的唯一标识符。

pri: 主分片（primary shard）的数量，这里是 1 个主分片。

rep: 副本分片（replica shard）的数量，这里也是 1 个副本分片。

docs.count: 索引中文档的总数，这里是 20。

docs.deleted: 索引中已删除的文档数量，这里是 0。

store.size: 索引的存储大小，这里是 34.1KB。

pri.store.size: 主分片的存储大小，这里也是 34.1KB。

创建索引

curl -X PUT localhost:9200/索引名字

查询索引

curl -X GET localhost:9200/索引名字

删除索引

curl -X DELETE localhost:9200/索引名字

更新索引

覆盖更新

curl -X DELETE localhost:9200/索引名字

局部更新

# 追加新增字段
POST /data/_bulk
{"update":{"_id":"1"}}
{"doc":{"title":"this is java and elasticsearch blog"}}

聚合分析

分组 count

用字符串分组需要指定fileddate=true

条件判断

平均数，求和

4. es的扩容实现

垂直扩容：节点扩容

水平扩容：添加新节点

水平扩容用的比较多

5. 常见报错

点击跳转