之前一直运行正常的数据分析平台,最近一段时间没有注意发现日志索引数据一直未生成,大概持续了n多天,当前状态: 单台机器, Elasticsearch(下面称ES)单节点(空集群),1000+shrads, 约200G大小。

问题排查

服务器内存,CPU状态检查

使用 top 查看服务器 cpu,内存等占用情况,如下图示(当时楼主的服务器ES应用的CPU占用在90%以上,肯定有问题)

内存占用也极高(当时楼主的8G内存的服务器仅剩下150M左右的空闲,肯定是ES的问题)

ES集群状态

查看ES集群健康值,发现 statusred,这种状态表示部分主分片不可用,楼主当前的状态是历史数据可查,但是无法生成新的 index 数据。

curl http://localhost:9200/_cluster/health?pretty

{

  "cluster_name" : "elasticsearch",

  "status" : "red",

  "timed_out" : false,

  "number_of_nodes" : 1,

  "number_of_data_nodes" : 1,

  "active_primary_shards" : 663,

  "active_shards" : 663,

  "relocating_shards" : 0,

  "initializing_shards" : 0,

  "unassigned_shards" : 6,

  "delayed_unassigned_shards" : 0,

  "number_of_pending_tasks" : 0,

  "number_of_in_flight_fetch" : 0,

  "task_max_waiting_in_queue_millis" : 0,

  "active_shards_percent_as_number" : 99.10313901345292

}

查看每个索引的状态,发现大部分索引状态是 red ,处于不可用状态,因为打开的索引数据过多,导致ES占用大量的CPU,内存,使得 logstash 不可用,也就无法创建新的索引数据,从而导致数据丢失。

curl -XGET   "http://localhost:9200/_cat/indices?v"

health status index          pri rep docs.count docs.deleted store.size pri.store.size

red    open   jr-2016.12.20    3   0

red    open   jr-2016.12.21    3   0

red    open   jr-2016.12.22    3   0

red    open   jr-2016.12.23    3   0

red    open   jr-2016.12.24    3   0

red    open   jr-2016.12.25    3   0

red    open   jr-2016.12.26    3   0

red    open   jr-2016.12.27    3   0

ES集群分片不可用,导致的查询失败

查询ES时抛出的异常:

[2018-08-06 18:27:24,553][DEBUG][action.search            ] [Godfrey Calthrop] All shards failed for phase: [query]

[jr-2018.08.06][[jr-2018.08.06][2]] NoShardAvailableActionException[null]

    at org.elasticsearch.action.search.AbstractSearchAsyncAction.start(AbstractSearchAsyncAction.java:129)

    at org.elasticsearch.action.search.TransportSearchAction.doExecute(TransportSearchAction.java:115)

    at org.elasticsearch.action.search.TransportSearchAction.doExecute(TransportSearchAction.java:47)

    at org.elasticsearch.action.support.TransportAction.doExecute(TransportAction.java:149)

    at org.elasticsearch.action.support.TransportAction.execute(TransportAction.java:137)

    at org.elasticsearch.action.support.TransportAction.execute(TransportAction.java:85)

    at org.elasticsearch.client.node.NodeClient.doExecute(NodeClient.java:58)

    at org.elasticsearch.client.support.AbstractClient.execute(AbstractClient.java:359)

    at org.elasticsearch.client.FilterClient.doExecute(FilterClient.java:52)

    at org.elasticsearch.rest.BaseRestHandler$HeadersAndContextCopyClient.doExecute(BaseRestHandler.java:83)

    at org.elasticsearch.client.support.AbstractClient.execute(AbstractClient.java:359)

    at org.elasticsearch.client.support.AbstractClient.search(AbstractClient.java:582)

    at org.elasticsearch.rest.action.search.RestSearchAction.handleRequest(RestSearchAction.java:85)

    at org.elasticsearch.rest.BaseRestHandler.handleRequest(BaseRestHandler.java:54)

    at org.elasticsearch.rest.RestController.executeHandler(RestController.java:205)

    at org.elasticsearch.rest.RestController.dispatchRequest(RestController.java:166)

    at org.elasticsearch.http.HttpServer.internalDispatchRequest(HttpServer.java:128)

    at org.elasticsearch.http.HttpServer$Dispatcher.dispatchRequest(HttpServer.java:86)

    at org.elasticsearch.http.netty.NettyHttpServerTransport.dispatchRequest(NettyHttpServerTransport.java:449)

    at org.elasticsearch.http.netty.HttpRequestHandler.messageReceived(HttpRequestHandler.java:61)

问题解决

通过以上排查大概知道是历史索引数据处于 open 状态过多,从而导致ES的CPU,内存占用过高导致的不可用。

#关闭不需要的索引,减少内存占用

curl -XPOST "http://localhost:9200/index_name/_close"

小插曲

关闭非热点索引数据后,楼主的ES集群的健康值依然是 red 状态,楼主最后联想到索引的 red 状态可能会影响ES的状态,果不其然如下所示

curl GET http://10.252.148.85:9200/_cluster/health?level=indices

{

	"cluster_name": "elasticsearch",

	"status": "red",

	"timed_out": false,

	"number_of_nodes": 1,

	"number_of_data_nodes": 1,

	"active_primary_shards": 660,

	"active_shards": 660,

	"relocating_shards": 0,

	"initializing_shards": 0,

	"unassigned_shards": 9,

	"delayed_unassigned_shards": 0,

	"number_of_pending_tasks": 0,

	"number_of_in_flight_fetch": 0,

	"task_max_waiting_in_queue_millis": 0,

	"active_shards_percent_as_number": 98.65470852017937,

	"indices": {

		"jr-2018.08.06": {

			"status": "red",

			"number_of_shards": 3,

			"number_of_replicas": 0,

			"active_primary_shards": 0,

			"active_shards": 0,

			"relocating_shards": 0,

			"initializing_shards": 0,

			"unassigned_shards": 3

		}

	}

}

解决方法,删除这条索引数据(这条数据是楼主排查问题期间产生的脏数据,索引直接删除)

curl -XDELETE 'http://10.252.148.85:9200/jr-2018.08.06'

小结

当ES处于单点时,应注意ES的索引状态以及服务器的监控,及时清理或者关闭不必要的索引数据,避免这种情况发生。技术成长的道路上,与你同行。

线上 ELK 集群健康值 red 状态问题排查与解决的更多相关文章

  1. 干货 | Elasticsearch 集群健康值红色终极解决方案【转】

    题记 Elasticsearch当清理缓存( echo 3 > /proc/sys/vm/drop_caches )的时候,出现 如下集群健康值:red,红色预警状态,同时部分分片都成为灰色.  ...

  2. 启动elasticsearch-head显示集群健康值:未连接

    ES启动后,进行es header访问的话,使用localhost:9100会显示集群健康值未连接 2种情况(均为windows10环境下): 1:未在elasticsearch-6.8.0\conf ...

  3. Elasticsearch 集群健康值红色终极解决方案

    文章转载自: https://mp.weixin.qq.com/s?__biz=MzI2NDY1MTA3OQ==&mid=2247483905&idx=1&sn=acaff63 ...

  4. 【docker】elasticsearch-head无法连接elasticsearch的原因和解决,集群健康值:未连接,ElasticSearch——跨域访问的问题

    环境 ==================== 虚拟机启动 centos 7  ip:192.168.92.130 elasticsearch 5.6.9   port:9200  9201 elas ...

  5. Elasticsearch Head 集群健康值:未连接

    安装elasticsearch 6.0  x-pack后,登录9200端口需要用户和密码, 这样,在使用elasticsearch head时,就不能直接访问9100了. 按照官方文档的要求,http ...

  6. Windows下同一台机器上elasticsearch集群的配置以及elasticsearch-head插件的使用

    ElasticSearch是一个基于Lucene的开源搜索服务器,现已经被越来越多的企业运用于项目当中,笔者为了学习es在自己机器上简单的搭建了一个es集群,此文权当记录. 1.我用到的压缩包 下载地 ...

  7. 【原创】《从0开始学Elasticsearch》—集群健康和索引管理

    内容目录 1.搭建Kibana2.集群健康3.索引操作 1.搭建Kibana 正如<Kibana 用户手册>中所介绍,Kibana 是一款开源的数据分析和可视化平台,因此我们可以借助 Ki ...

  8. Kibana安装(图文详解)(多节点的ELK集群安装在一个节点就好)

    对于Kibana ,我们知道,是Elasticsearch/Logstash/Kibana的必不可少成员. 前提: Elasticsearch-2.4.3的下载(图文详解) Elasticsearch ...

  9. Filebeat-1.3.1安装和设置(图文详解)(多节点的ELK集群安装在一个节点就好)(以Console Output为例)

    前期博客 Filebeat的下载(图文讲解) 前提 Elasticsearch-2.4.3的下载(图文详解) Elasticsearch-2.4.3的单节点安装(多种方式图文详解) Elasticse ...

随机推荐

  1. 调试正常,签名打包提示 "x应用未安装。"

    今天在工作的时候遇到一个奇葩的问题,开发一个新项目,然后在AS中调试运行都是一切正常.打包签名后,缺无法安装,提示"x应用未安装."如图所示. 网上找了好多方法,比如,签名的时候要 ...

  2. shell编程——内部变量

    常用的内部变量有:echo, eval, exec, export, readonly, read, shift, wait, exit 和 点(.) echo:将变量名指定的变量显示到标准输出 [r ...

  3. 第二天:让我们一起来玩玩css精灵(css sprites)

    1.效果图 2.html代码 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://ww ...

  4. struts2配置文件(struts.xml)中相关属性的设置

    <?xml version="1.0" encoding="UTF-8" ?><!DOCTYPE struts PUBLIC "-/ ...

  5. react native android 真机调试

    http://localhost:8081/index.android.bundle?platform=android 晕死,设备掉线了 C:\Users\ZHONGZHENHUA\.android\ ...

  6. 详细探究Spark的shuffle实现

    Background 在MapReduce框架中,shuffle是连接Map和Reduce之间的桥梁,Map的输出要用到Reduce中必须经过shuffle这个环 节,shuffle的性能高低直接影响 ...

  7. 富文本编辑器和fastdfs的使用

    宜立方商城的系统架构a) 功能介绍(项目架构,有哪些功能模块,这些功能模块如何实现?)b) 架构讲解工程搭建-后台工程c) 使用maven搭建工程(后台工程如何搭建?)d) 使用maven的tomca ...

  8. Zookeeper使用--开源客户端

    一.ZkClient ZkClient是在Zookeeper原生API接口之上进行了包装,是一个更易用的Zookeeper客户端,其内部还实现了诸如Session超时重连.Watcher反复注册等功能 ...

  9. rpm管理

    系统上rpm命令管理程序包: 安装.卸载.升级.查询.校验.数据库维护 安装: rpm {-i|--install} [install-options] PACKAGE_FILE ... -v: ve ...

  10. Mcrosoft中间语言的主要特征

    Mcrosoft中间语言显然在.NET FrameWork中起着非常重要的作用.现在讨论一下IL(Intermideate Language)的主要特征.因为面向.NET的所有语言在逻辑上都需要支持I ...