DevOps-Tools & Best Practices meistern - DevOps Knowledge Hub DevOps-Tools & Best Practices meistern - DevOps Knowledge Hub

Fehlerbehebung bei langsamen Elasticsearch-Abfragen: Identifikations- und Lösungsschritte

So diagnostizieren Sie langsame Elasticsearch-Abfragen mit Health-Checks, Slow Logs, der Profile-API, Mappings, Shards und sichereren Abfragemustern.

Fehlerbehebung bei langsamen Elasticsearch-Abfragen: Identifikations- und Lösungsschritte

Langsame Elasticsearch-Abfragen werden selten durch eine einzige universelle Einstellung behoben. Eine Abfrage kann langsam sein, weil sie zu viele Daten scannt, zu viele Shards trifft, eine teure Aggregation anfordert, nach dem falschen Feld sortiert, hinter anderen Arbeiten wartet oder auf einem Knoten landet, der bereits knapp an Heap oder Festplattenbandbreite ist.

Beginnen Sie mit der eigentlichen Anfrage, wenn Sie sie erhalten können. Ein vager Bericht, dass "die Suche langsam ist", ist schwer zu bearbeiten. Ein kopierter Anforderungstext, das Zielindexmuster, der Zeitbereich, die vom Benutzer wahrgenommene Latenz und der Zeitstempel ermöglichen es Ihnen, die langsame Abfrage mit Cluster-Metriken aus demselben Moment zu vergleichen.

Grundlegendes zur Elasticsearch-Abfragelatenz

Bevor Sie mit der Fehlerbehebung beginnen, ist es wichtig, die Hauptfaktoren zu verstehen, die die Abfrageleistung in Elasticsearch beeinflussen:

  • Datenvolumen und -komplexität: Die schiere Datenmenge, die Anzahl der Felder und die Komplexität der Dokumente können sich direkt auf die Suchzeiten auswirken.
  • Abfragekomplexität: Einfache term-Abfragen sind schnell; komplexe bool-Abfragen mit vielen Klauseln, Aggregationen oder script-Abfragen können ressourcenintensiv sein.
  • Mapping- und Indexierungsstrategie: Wie Ihre Daten indiziert werden (z. B. text- vs. keyword-Felder, Verwendung von fielddata), beeinflusst die Abfrageeffizienz erheblich.
  • Cluster-Gesundheit und -Ressourcen: CPU, Arbeitsspeicher, Festplatten-I/O und Netzwerklatenz auf Ihren Cluster-Knoten sind entscheidend. Ein ungesunder Cluster oder ressourcenbeschränkte Knoten führen unweigerlich zu langsamer Leistung.
  • Sharding und Replikation: Die Anzahl und Größe der Shards und wie sie auf die Knoten verteilt sind, wirken sich auf Parallelität und Datenabruf aus.

Erste Überprüfungen bei langsamen Abfragen

Bevor Sie erweiterte Profiling-Tools einsetzen, beginnen Sie immer mit diesen grundlegenden Überprüfungen:

1. Überwachen Sie die Cluster-Gesundheit

Überprüfen Sie die allgemeine Gesundheit Ihres Elasticsearch-Clusters mit der _cluster/health-API. Ein red-Status weist auf fehlende primäre Shards hin, und yellow bedeutet, dass einige Replikat-Shards nicht zugewiesen sind. Beides kann die Abfrageleistung erheblich beeinträchtigen.

GET /_cluster/health

Achten Sie auf status: green, aber hören Sie hier nicht auf. Ein grüner Cluster kann immer noch überlastet, schlecht geshardet oder ineffiziente Abfragen ausführen.

2. Überprüfen Sie die Knotenressourcen

Untersuchen Sie die Ressourcennutzung einzelner Knoten. Hohe CPU-Auslastung, wenig verfügbarer Arbeitsspeicher (insbesondere Heap) oder gesättigte Festplatten-I/O sind starke Indikatoren für Engpässe.

GET /_cat/nodes?v
GET /_cat/thread_pool?v

Achten Sie auf cpu, load_1m, heap.percent und disk.used_percent. Hohe Warteschlangengrößen im search-Thread-Pool deuten ebenfalls auf eine Überlastung hin.

3. Analysieren Sie Slow Logs

Elasticsearch kann Abfragen protokollieren, die einen definierten Schwellenwert überschreiten. Dies ist ein ausgezeichneter erster Schritt, um bestimmte langsame Abfragen zu identifizieren, ohne tief in einzelne Anfragen einzusteigen.

Slow-Log-Schwellenwerte sind Indexeinstellungen. Wenden Sie sie auf den betroffenen Index oder das Indexmuster an, damit Sie nützliche Beispiele erfassen, ohne jeden Knoten-Log zu überfluten:

PUT /my-index/_settings
{
  "index.search.slowlog.threshold.query.warn": "10s",
  "index.search.slowlog.threshold.fetch.warn": "1s"
}

Überwachen Sie dann Ihre Elasticsearch-Logs auf Einträge wie [WARN][index.search.slowlog].

Tiefergehende Analyse: Identifizierung von Engpässen mit der Profile-API

Wenn erste Überprüfungen das Problem nicht eingrenzen oder Sie verstehen müssen, warum eine bestimmte Abfrage langsam ist, ist die Elasticsearch Profile-API Ihr leistungsstärkstes Werkzeug. Sie bietet eine detaillierte Aufschlüsselung, wie eine Abfrage auf niedriger Ebene ausgeführt wird, einschließlich der Zeit, die jede Komponente benötigt.

Was ist die Profile-API?

Die Profile-API gibt einen vollständigen Ausführungsplan für eine Suchanfrage zurück und detailliert die Zeit, die für jede Abfragekomponente (z. B. TermQuery, BooleanQuery, WildcardQuery) und die Sammelphase benötigt wird. So können Sie genau identifizieren, welche Teile Ihrer Abfrage die meiste Zeit verbrauchen.

So verwenden Sie die Profile-API

Fügen Sie einfach "profile": true zu Ihrem vorhandenen Suchanfragekörper hinzu:

GET /your_index/_search?profile=true
{
  "query": {
    "bool": {
      "must": [
        { "match": { "title": "elasticsearch" } }
      ],
      "filter": [
        { "range": { "date": { "gte": "now-1y/y" } } }
      ]
    }
  },
  "size": 0, 
  "aggs": {
    "daily_sales": {
      "date_histogram": {
        "field": "timestamp",
        "fixed_interval": "1d"
      }
    }
  }
}

Hinweis: Die Profile-API verursacht Overhead, verwenden Sie sie daher zum Debuggen bestimmter Abfragen, nicht in der Produktion für jede Anfrage.

Interpretieren der Profile-API-Ausgabe

Die Ausgabe ist ausführlich, aber strukturiert. Wichtige Felder, auf die Sie im Abschnitt profile achten sollten, sind:

  • type: Der Typ der Lucene-Abfrage oder des Collectors, der ausgeführt wird (z. B. BooleanQuery, TermQuery, WildcardQuery, MinScoreCollector).
  • description: Eine menschenlesbare Beschreibung der Komponente, oft einschließlich des Feldes und des Werts, mit dem sie arbeitet.
  • time_in_nanos: Die Gesamtzeit (in Nanosekunden), die von dieser Komponente und ihren Kindern verbraucht wurde.
  • breakdown: Eine detaillierte Aufschlüsselung der Zeit, die in verschiedenen Phasen verbracht wurde (z. B. rewrite, build_scorer, next_doc, advance, score).

Beispielinterpretation: Wenn Sie eine WildcardQuery oder RegexpQuery mit einer hohen time_in_nanos und einem erheblichen Anteil in rewrite sehen, deutet dies darauf hin, dass das Umschreiben der Abfrage (Erweitern des Wildcard-Musters) sehr teuer ist, insbesondere bei Feldern mit hoher Kardinalität oder großen Indizes.

...
"profile": {
  "shards": [
    {
      "id": "_na_",
      "searches": [
        {
          "query": [
            {
              "type": "BooleanQuery",
              "description": "title:elasticsearch +date:[1577836800000 TO 1609459200000}",
              "time_in_nanos": 12345678,
              "breakdown": { ... },
              "children": [
                {
                  "type": "TermQuery",
                  "description": "title:elasticsearch",
                  "time_in_nanos": 123456,
                  "breakdown": { ... }
                },
                {
                  "type": "PointRangeQuery",
                  "description": "date:[1577836800000 TO 1609459200000}",
                  "time_in_nanos": 789012,
                  "breakdown": { ... }
                }
              ]
            }
          ],
          "aggregations": [
            {
              "type": "DateHistogramAggregator",
              "description": "date_histogram(field=timestamp,interval=1d)",
              "time_in_nanos": 9876543,
              "breakdown": { ... }
            }
          ]
        }
      ]
    }
  ]
}
...

In diesem vereinfachten Beispiel: Wenn DateHistogramAggregator eine unverhältnismäßig hohe time_in_nanos aufweist, ist Ihre Aggregation der Engpass.

Häufige Ursachen für langsame Abfragen und Lösungsstrategien

Basierend auf Ihren Erkenntnissen aus der Profile-API und dem allgemeinen Cluster-Zustand finden Sie hier häufige Probleme und deren Lösungen:

1. Ineffizientes Abfragedesign

Problem: Bestimmte Abfragetypen sind von Natur aus ressourcenintensiv, insbesondere bei großen Datensätzen.

  • wildcard, prefix, regexp-Abfragen: Diese können sehr langsam sein, da sie viele Begriffe durchlaufen müssen.
  • script-Abfragen: Das Ausführen von Skripten auf jedem Dokument zum Filtern oder Bewerten ist extrem teuer.
  • Tiefe Paginierung: Verwendung von from und size mit sehr großen Offsets.
  • Zu viele should-Klauseln: Boolesche Abfragen mit Hunderten oder Tausenden von should-Klauseln können sehr langsam werden.

Lösungsschritte:

  • Vermeiden Sie breite wildcard / prefix / regexp-Abfragen auf großen Feldern:
    • Verwenden Sie für die Suche während der Eingabe completion suggesters oder n-grams zum Indexzeitpunkt.
    • Erwägen Sie für exakte Präfixe speziell entwickelte Präfixfelder, index_prefixes oder eine keyword-Strategie, die zu Ihren Daten passt.
  • Minimieren Sie script-Abfragen: Überprüfen Sie, ob die Logik in die Erfassung verschoben werden kann (z. B. durch Hinzufügen eines dedizierten Feldes) oder durch Standardabfragen/-aggregationen behandelt werden kann.
  • Optimieren Sie die Paginierung: Verwenden Sie für die tiefe Paginierung auf Benutzerseite search_after mit einer stabilen Sortierung. Verwenden Sie die Scroll-API für Batch-Extraktionsjobs, nicht für interaktive Suchseiten.
  • Überarbeiten Sie should-Abfragen: Kombinieren Sie ähnliche Klauseln oder erwägen Sie gegebenenfalls clientseitiges Filtern.

2. Fehlende oder ineffiziente Mappings

Problem: Falsche Feld-Mappings können Elasticsearch zwingen, kostspielige Operationen durchzuführen.

  • Textfelder, die für exakte Übereinstimmungen/Sortierung/Aggregationen verwendet werden: text-Felder werden analysiert und tokenisiert, was exakte Übereinstimmungen ineffizient macht. Das Sortieren oder Aggregieren auf ihnen erfordert fielddata, was heap-intensiv ist.
  • Übermäßige Indexierung: Indizierung von Feldern, die nie durchsucht oder unnötigerweise analysiert werden.

Lösungsschritte:

  • Verwenden Sie keyword für exakte Übereinstimmungen, Sortierung und Aggregationen: Verwenden Sie für Felder, die exakte Übereinstimmungen, Filterung, Sortierung oder Aggregationen erfordern, den Feldtyp keyword.
  • Nutzen Sie multi-fields: Indizieren Sie dieselben Daten auf verschiedene Weise (z. B. title.text für die Volltextsuche und title.keyword für exakte Übereinstimmungen und Aggregationen).
  • Deaktivieren Sie index für ungenutzte durchsuchbare Felder: Wenn ein Feld nur angezeigt und nie durchsucht wird, erwägen Sie "index": false. Seien Sie vorsichtig beim Deaktivieren von _source; es wirkt sich auf Updates, Neuindizierung, Debugging und Wiederherstellungsworkflows aus.

3. Probleme mit Shards

Problem: Eine unangemessene Anzahl oder Größe von Shards kann zu ungleichmäßiger Lastverteilung oder übermäßigem Overhead führen.

  • Zu viele kleine Shards: Jeder Shard hat Overhead. Zu viele kleine Shards können den Master-Knoten belasten, die Heap-Nutzung erhöhen und Suchen verlangsamen, indem sie die Anzahl der Anfragen erhöhen.
  • Zu wenige große Shards: Begrenzt die Parallelität bei Suchen und kann "Hot Spots" auf Knoten erzeugen.

Lösungsschritte:

  • Optimale Shard-Größe: Streben Sie Shard-Größen zwischen 10 GB und 50 GB an. Verwenden Sie zeitbasierte Indizes (z. B. logs-YYYY.MM.DD) und Rollover-Indizes, um das Shard-Wachstum zu verwalten.
  • Neuindizierung und Verkleinerung/Aufteilung: Verwenden Sie die APIs _reindex, _split oder _shrink, um Shards in vorhandenen Indizes zu konsolidieren oder ihre Größe zu ändern.
  • Überwachen Sie die Shard-Verteilung: Stellen Sie sicher, dass Shards gleichmäßig auf die Datenknoten verteilt sind.

4. Heap- und JVM-Einstellungen

Problem: Unzureichender JVM-Heap-Speicher oder suboptimale Garbage Collection können häufige Pausen und schlechte Leistung verursachen.

Lösungsschritte:

  • Ausreichend Heap zuweisen: Setzen Sie Xms und Xmx auf denselben Wert. Ein üblicher Ausgangspunkt ist nicht mehr als die Hälfte des physischen RAMs, während Sie unter der komprimierten gewöhnlichen Objektzeigerschwelle bleiben, die oft im niedrigen 30-GB-Bereich liegt.
  • Überwachen Sie die JVM-Garbage Collection: Verwenden Sie GET _nodes/stats/jvm?pretty oder dedizierte Überwachungstools, um GC-Zeiten zu überprüfen. Häufige oder lange GC-Pausen deuten auf Heap-Druck hin.

5. Festplatten-I/O und Netzwerklatenz

Problem: Langsamer Speicher oder Netzwerkengpässe können eine grundlegende Ursache für Abfragelatenz sein.

Lösungsschritte:

  • Verwenden Sie schnellen Speicher: SSDs werden für Elasticsearch-Datenknoten dringend empfohlen. NVMe-SSDs sind für Hochleistungsanwendungsfälle noch besser.
  • Stellen Sie ausreichende Netzwerkbandbreite sicher: Für große Cluster oder stark indizierte/abgefragte Umgebungen ist der Netzwerkdurchsatz entscheidend.

6. Fielddata-Nutzung

Problem: Die Verwendung von fielddata auf text-Feldern zum Sortieren oder für Aggregationen kann massive Mengen an Heap verbrauchen und zu OutOfMemoryError-Ausnahmen führen.

Lösungsschritte:

  • Vermeiden Sie fielddata: true auf text-Feldern: Diese Einstellung ist aus gutem Grund standardmäßig für text-Felder deaktiviert. Verwenden Sie stattdessen multi-fields, um ein keyword-Unterfeld zum Sortieren/Aggregieren zu erstellen.

Best Practices für die Abfrageoptimierung

Um langsame Abfragen proaktiv zu verhindern:

  • Bevorzugen Sie den filter-Kontext für nicht bewertende Bedingungen: Wenn Sie keine Relevanzbewertung für range-, term- oder exists-Bedingungen benötigen, platzieren Sie sie in der filter-Klausel einer bool-Abfrage. Filter überspringen die Bewertung und sind für Elasticsearch oft einfacher zu optimieren.
  • Verwenden Sie die constant_score-Abfrage zum Filtern: Dies ist nützlich, wenn Sie eine query (keinen filter) haben, die Sie aus Gründen der Cache-Nutzung in einem Filterkontext ausführen möchten.
  • Entwerfen Sie für die Wiederverwendung des Caches, wo es passt: Elasticsearch entscheidet automatisch, was gecached wird. Wiederholte Filter über stabile Daten profitieren mehr als eindeutige, einmalige Filter mit sich ständig ändernden Werten.
  • Optimieren Sie indices.query.bool.max_clause_count: Wenn Sie mit vielen should-Klauseln an das Standardlimit (1024) stoßen, sollten Sie Ihre Abfrage neu gestalten oder diese Einstellung (mit Vorsicht) erhöhen.
  • Regelmäßige Überwachung: Überwachen Sie kontinuierlich Ihre Cluster-Gesundheit, Knotenressourcen, Slow Logs und Abfrageleistung, um Probleme frühzeitig zu erkennen.
  • Testen, testen, testen: Testen Sie die Abfrageleistung immer mit realistischen Datenmengen und Arbeitslasten in einer Staging-Umgebung, bevor Sie sie in der Produktion bereitstellen.

Die beste Abfragekorrektur ist normalerweise in den Beweisen sichtbar. Slow Logs zeigen die Anforderungsform. Die Profile-API zeigt, welcher Teil der Abfrage Zeit verbraucht. Knotenstatistiken zeigen, ob der Cluster genügend CPU, Heap und Festplatten-I/O hatte, als die Abfrage lief. Setzen Sie diese zusammen, bevor Sie Einstellungen ändern, und Sie vermeiden es, ein Symptom zu optimieren, während das eigentliche Problem weiterläuft.