一、性能与慢查询
1. ES 查询非常慢,延迟高
-
场景:用户反馈搜索接口经常超时,尤其在大分页查询时。
-
可能原因:
-
使用
from + size进行深度分页,导致扫描大量文档。 -
没有使用合适的 keyword 字段,触发全文分析。
-
分片过多,节点压力大。
-
-
排查工具/方法:
-
/_cat/nodes?v查看节点负载。 -
/_nodes/hot_threads分析 CPU 占用。 -
/_tasks查看慢查询任务。
-
-
解决方案:
-
使用
search_after或scroll替代深度分页。 -
在 mapping 中合理区分
text与keyword。 -
优化分片数量,减少不必要的广播查询。
-
2. ES 写入速度很慢
-
场景:日志数据写入,QPS 仅几千就触发瓶颈。
-
可能原因:
-
refresh_interval太短,频繁 segment merge。 -
没用
bulk API,单条写入开销大。 -
硬盘 IO 或 JVM GC 压力过大。
-
-
排查工具/方法:
-
_cat/indices?v查看写入速率。 -
/_nodes/stats检查 IO/GC。
-
-
解决方案:
-
批量写入(bulk),减少请求数。
-
调整
refresh_interval=30s或临时设为-1批量导入。 -
优化硬件(SSD)、调 JVM 堆。
-
3. 聚合查询(aggregation)导致内存溢出
-
场景:报表系统需要统计用户行为,ES 经常 OOM。
-
可能原因:
-
大量字段开启了
fielddata。 -
使用了高基数字段(如 userId)做聚合。
-
-
排查工具/方法:
-
_cat/fielddata查看内存使用。 -
/_nodes/stats?pretty查看 JVM 内存分配。
-
-
解决方案:
-
将聚合字段设为
keyword+doc_values。 -
限制聚合深度(size)。
-
使用
composite aggregation分页聚合。
-
二、索引与 Mapping
4. ES mapping 设计错误导致查询异常
-
场景:手机号存成了 text 类型,查询效率极差。
-
可能原因:
- 误用
text,导致分词。
- 误用
-
排查工具/方法:
GET index/_mapping查看字段类型。
-
解决方案:
-
修改 mapping 不可行,只能重建索引。
-
预先设计好字段(手机号/ID 用 keyword)。
-
5. 分片数设置不合理
-
场景:创建索引时设了 50 个分片,导致节点内存消耗大。
-
可能原因:
-
分片数量过多,导致资源浪费。
-
分片数量过少,导致无法扩展。
-
-
排查工具/方法:
/_cat/shards查看分片分布。
-
解决方案:
-
计算分片数 ≈
数据量 / (单分片上限 50GB)。 -
7.x 以后用 ILM(Index Lifecycle Management)自动管理索引滚动。
-
6. 索引占用磁盘过大
-
场景:100GB 原始数据,ES 占用 500GB。
-
可能原因:
-
_source未禁用,存储重复 JSON。 -
没有压缩,字段冗余。
-
-
排查工具/方法:
_cat/indices?v查看磁盘使用。
-
解决方案:
-
_source只保留必要字段。 -
开启
best_compression。 -
使用 alias 指向归档索引,定期清理历史数据。
-
三、集群与节点
7. 集群状态变成 yellow/red
-
场景:集群宕机后,索引部分不可用。
-
可能原因:
-
副本分片未分配。
-
Master 节点丢失。
-
-
排查工具/方法:
-
/_cluster/health查看集群状态。 -
/_cat/allocation?v查看分片分布。
-
-
解决方案:
-
增加节点,确保副本可分配。
-
检查 master 选举是否正常。
-
8. 集群频繁 GC,响应变慢
-
场景:查询稍微多一些,就频繁 Full GC。
-
可能原因:
-
JVM 堆过小。
-
fielddata 或聚合加载过多数据。
-
-
排查工具/方法:
-
jstat、ES GC 日志。 -
/_nodes/stats/jvm查看内存。
-
-
解决方案:
-
调整 ES 堆大小(推荐 50% 内存,<=32G)。
-
用
doc_values替代 fielddata。
-
9. 分片倾斜导致部分节点压力过大
-
场景:某些节点 QPS 很高,其他节点空闲。
-
可能原因:
- 分片分配不均匀。
-
排查工具/方法:
/_cat/shards查看分布。
-
解决方案:
-
手动 reroute 分片。
-
配置
cluster.routing.allocation.awareness,保证均衡。
-
10. 节点频繁掉线
-
场景:大查询时节点直接挂掉。
-
可能原因:
-
heap 内存不足。
-
网络分区。
-
-
排查工具/方法:
/_cluster/state查看节点。
-
解决方案:
-
调整 JVM 堆 + OS 虚拟内存。
-
增加节点,避免单节点压力过大。
-
四、查询与业务应用
11. 中文搜索结果不准
-
场景:用户搜索"北京大学",结果却包含"北京 大学 城"。
-
可能原因:
- 默认 Standard Analyzer 不适合中文。
-
排查工具/方法:
_analyze查看分词结果。
-
解决方案:
-
使用
IK 分词器或jieba。 -
搜索时使用
multi_match并配置 analyzer。
-
12. 排序不稳定
-
场景:用户同样的搜索请求,每次结果顺序不同。
-
可能原因:
- 没有明确排序字段。
-
排查工具/方法:
- 检查查询 DSL 是否带
sort。
- 检查查询 DSL 是否带
-
解决方案:
-
指定排序字段(如时间、权重)。
-
引入
_score+ 二级排序。
-
13. 统计结果不准
-
场景:查询用户数,结果比真实数据少。
-
可能原因:
- ES 统计是近实时的,存在延迟。
-
排查工具/方法:
refresh强制刷新。
-
解决方案:
-
关键业务场景下,调用
POST index/_refresh。 -
允许弱一致性,减少性能损耗。
-
五、监控与运维
14. 查询 QPS 高,集群 CPU 100%
-
场景:业务高峰期 CPU 被打满,查询大量超时。
-
可能原因:
-
查询 DSL 复杂(wildcard、正则)。
-
节点不足。
-
-
排查工具/方法:
_nodes/hot_threads找出热点查询。
-
解决方案:
-
优化 DSL,避免
*abc*。 -
增加节点或分流。
-
15. ES 集群升级后,旧索引无法使用
-
场景:升级 ES 7.x 后,部分 5.x 索引报错。
-
可能原因:
- 跨大版本不兼容。
-
排查工具/方法:
_cat/indices查看旧索引格式。
-
解决方案:
- 使用 reindex API 迁移数据。
16. 滚动日志索引过多
-
场景:日志索引每天建一个,1 年后有 365 个索引,管理困难。
-
可能原因:
- 没有生命周期管理策略。
-
排查工具/方法:
_cat/indices查看索引数。
-
解决方案:
-
使用 ILM(Index Lifecycle Management)。
-
热数据用 SSD,冷数据迁移到 HDD 或 S3。
-
六、缓存与查询优化
17. 查询结果不稳定,性能忽高忽低
-
场景:同一查询第一次慢,第二次快。
-
可能原因:
- ES 使用了 query cache,第一次查询未命中缓存。
-
排查工具/方法:
/_nodes/stats/indices/query_cache查看缓存命中率。
-
解决方案:
-
对热点查询使用缓存。
-
对动态查询参数禁用缓存。
-
18. 使用通配符查询(wildcard)非常慢
-
场景 :用户搜索
*abc*,集群直接卡死。 -
可能原因:
- wildcard 会扫描大量 term。
-
排查工具/方法:
_explain查看查询计划。
-
解决方案:
-
避免前缀
*,改用 ngram 索引。 -
提前做关键词分词。
-
19. 正则查询耗时长
-
场景 :用
/abc.*/匹配,耗时数十秒。 -
可能原因:
- 正则在倒排索引上效率差。
-
排查工具/方法:
profile API分析查询性能。
-
解决方案:
-
用
keyword字段 + 前缀匹配代替。 -
预处理业务字段,避免运行时正则。
-
20. 排序慢
-
场景:对 1000w 条数据排序,查询超时。
-
可能原因:
- 排序字段没用
doc_values。
- 排序字段没用
-
排查工具/方法:
_mapping查看字段属性。
-
解决方案:
-
对排序字段启用
doc_values。 -
减少排序数据量(分页、分桶)。
-
七、Spring & 业务集成
21. Spring Boot + ES 查询延迟高
-
场景:接口层调用 ES 查询,RT 达 2s。
-
可能原因:
-
查询 DSL 过大。
-
HTTP 连接池配置不足。
-
-
排查工具/方法:
thread dump查看等待队列。
-
解决方案:
-
使用
RestHighLevelClient并调大连接池。 -
缓存热点查询。
-
22. MyBatis / JPA + ES 数据不同步
-
场景:更新 MySQL,ES 数据未更新。
-
可能原因:
- 缺少异步同步机制。
-
排查工具/方法:
- 对比 MySQL 和 ES 数据量。
-
解决方案:
-
使用 Canal/Kafka 捕获 Binlog → 写 ES。
-
定期做全量校验。
-
23. Kafka + ES 写入延迟大
-
场景:Kafka 消费写 ES 延迟几分钟。
-
可能原因:
- 批量提交太小,ES QPS 受限。
-
排查工具/方法:
- 查看 Kafka Lag。
-
解决方案:
-
批量 bulk 写入,调大并发。
-
调整 Kafka consumer 批量大小。
-
24. 日志链路丢失数据(ELK)
-
场景:日志收集不完整,部分数据不在 ES。
-
可能原因:
-
Logstash 队列溢出。
-
ES bulk 拒绝写入。
-
-
排查工具/方法:
-
logstash logs。 -
/_cat/recovery。
-
-
解决方案:
-
调大 Logstash 队列。
-
开启 bulk retry。
-
八、集群与跨数据中心
25. 跨集群搜索延迟高
-
场景:上海节点查询需要访问北京集群,延迟 2s。
-
可能原因:
- 网络延迟 + 跨集群广播。
-
排查工具/方法:
ping/traceroute网络检查。
-
解决方案:
-
业务侧缓存结果。
-
跨集群只查关键索引。
-
26. 跨机房写入失败
-
场景:双活 ES,跨机房写失败。
-
可能原因:
- ES 本身不支持多写一致性。
-
排查工具/方法:
_cluster/stats。
-
解决方案:
-
采用消息队列中转(Kafka → 各机房 ES)。
-
单写多读架构。
-
27. 索引迁移失败
-
场景:索引从老集群迁移到新集群时报错。
-
可能原因:
- mapping 不兼容。
-
排查工具/方法:
_mapping对比差异。
-
解决方案:
-
用 reindex API。
-
先迁空壳 mapping,再迁数据。
-
28. 索引恢复慢
-
场景:节点宕机重启后,索引恢复需数小时。
-
可能原因:
- 分片太大。
-
排查工具/方法:
/_cat/recovery?v。
-
解决方案:
-
分片大小控制在 30~50GB。
-
多节点并行恢复。
-
29. 选主不稳定
-
场景:集群频繁触发 master 选举。
-
可能原因:
- master 节点数量不足。
-
排查工具/方法:
cluster logs。
-
解决方案:
-
至少 3 个 master eligible 节点。
-
网络层优化,避免脑裂。
-
30. 集群健康状态频繁波动
-
场景:集群在 green/yellow 之间切换。
-
可能原因:
-
网络抖动。
-
节点负载过高。
-
-
排查工具/方法:
/_cluster/health?level=shards。
-
解决方案:
-
调整
discovery.zen配置。 -
增加资源。
-
九、容器化与运维
31. Docker 中 ES 内存不足
-
场景:ES 容器频繁 OOMKilled。
-
可能原因:
- JVM 堆设置不合理。
-
排查工具/方法:
docker stats。
-
解决方案:
-Xms -Xmx设置为 50% 容器内存。
32. Kubernetes 部署 ES 不稳定
-
场景:Pod 重启,集群频繁 yellow。
-
可能原因:
- PV 未绑定,数据丢失。
-
排查工具/方法:
kubectl describe pod。
-
解决方案:
-
StatefulSet + PVC。
-
使用 local PV 或 Ceph。
-
33. ES 监控指标不全
-
场景:Prometheus 采集不到索引级别指标。
-
可能原因:
- 未安装 exporter。
-
排查工具/方法:
curl /_cat/indices。
-
解决方案:
-
部署
elasticsearch-exporter。 -
对接 Grafana。
-
34. 备份恢复失败
-
场景:ES snapshot 恢复报错。
-
可能原因:
- repository 配置错误。
-
排查工具/方法:
_snapshot/_status。
-
解决方案:
-
使用 S3/HDFS repo。
-
确认权限。
-
35. 安全认证问题
-
场景:ES API 调用 401。
-
可能原因:
- X-Pack 未配置。
-
排查工具/方法:
/_security/user。
-
解决方案:
-
配置 user/role。
-
使用 API key。
-
十、进阶问题
36. 热点索引写入瓶颈
-
场景:日志索引当天写入量过大。
-
可能原因:
- 所有写入落到单索引。
-
排查工具/方法:
/_cat/indices。
-
解决方案:
-
按时间滚动索引(index per day)。
-
ILM 管理。
-
37. 热点 term 查询慢
-
场景:某用户 ID 查询慢。
-
可能原因:
- term 值过多。
-
排查工具/方法:
term stats分析。
-
解决方案:
- 建立反向索引或预聚合表。
38. 聚合内存溢出
-
场景:大聚合任务 OOM。
-
可能原因:
- 一次性拉取太多 bucket。
-
排查工具/方法:
_tasks。
-
解决方案:
-
composite agg 分批拉取。
-
限制 size。
-
39. Nested 查询性能差
-
场景:复杂对象嵌套查询很慢。
-
可能原因:
- nested 查询展开成多个 hidden doc。
-
排查工具/方法:
- profile API。
-
解决方案:
- 业务端扁平化存储。
40. pipeline aggregation 慢
-
场景:二次聚合计算慢。
-
可能原因:
- 处理了过多桶。
-
排查工具/方法:
- profile API。
-
解决方案:
- 限制前置聚合 bucket 数量。
十一、故障恢复与排查
41. 索引不可写
-
场景:磁盘 95%+,索引写入报错。
-
可能原因:
- ES 磁盘水位保护。
-
排查工具/方法:
_cluster/settings。
-
解决方案:
-
扩容磁盘。
-
修改
cluster.routing.allocation.disk.watermark.*。
-
42. ES 无法启动
-
场景:重启 ES 失败。
-
可能原因:
- 权限不足 / jvm.options 错误。
-
排查工具/方法:
- logs 目录。
-
解决方案:
-
检查
vm.max_map_count。 -
调整 jvm 参数。
-
43. 集群分裂(脑裂)
-
场景:出现多个 master。
-
可能原因:
- 网络分区。
-
排查工具/方法:
- cluster logs。
-
解决方案:
- 配置
discovery.zen.minimum_master_nodes = N/2+1。
- 配置
44. ES 滚动升级失败
-
场景:升级版本后部分节点不兼容。
-
可能原因:
- 跨大版本不支持。
-
排查工具/方法:
- logs。
-
解决方案:
-
逐级升级。
-
先升级 master 节点。
-
45. 数据丢失
-
场景:节点宕机,部分索引丢失。
-
可能原因:
- 没有副本。
-
排查工具/方法:
/_cat/indices。
-
解决方案:
-
生产至少 1 副本。
-
快照备份。
-
46. 查询超时
-
场景:接口调用 30s 超时。
-
可能原因:
- 搜索条件不走倒排索引。
-
排查工具/方法:
- explain API。
-
解决方案:
-
优化 mapping。
-
避免 script 查询。
-
47. Script 查询性能差
-
场景:脚本评分查询卡顿。
-
可能原因:
- script 每次编译。
-
排查工具/方法:
- script logs。
-
解决方案:
- 使用 painless 并启用 script 缓存。
48. ES 节点磁盘写满
-
场景:磁盘满导致宕机。
-
可能原因:
- segment merge 写放大。
-
排查工具/方法:
_cat/allocation。
-
解决方案:
- 增加磁盘或清理旧索引。
49. 备份恢复很慢
-
场景:snapshot restore 需要数小时。
-
可能原因:
- 网络带宽不足。
-
排查工具/方法:
- repo logs。
-
解决方案:
-
并行恢复多个 shard。
-
提前冷热分离。
-
50. ES 在大数据场景下不稳定
-
场景:100TB 数据集群经常 red。
-
可能原因:
-
分片太多。
-
节点负载过高。
-
-
排查工具/方法:
/_cluster/stats。
-
解决方案:
-
用冷热分离架构。
-
使用 rollup / spark 分析。
-