Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Análisis común de registros de Elasticsearch para una resolución de problemas eficaz

Desbloquee una solución de problemas eficiente de Elasticsearch dominando el análisis de registros. Esta guía detalla la estructura de los registros de Elasticsearch, explica cómo priorizar los problemas utilizando los niveles de registro (ERROR, WARN, INFO) y proporciona ejemplos prácticos para diagnosticar problemas comunes. Aprenda a identificar patrones críticos relacionados con fallos de inicio del clúster, excepciones del disyuntor de memoria, problemas de asignación de shards y cuellos de botella en el rendimiento utilizando registros lentos dedicados. Lectura esencial para los equipos de operaciones y administradores que buscan una resolución rápida de problemas complejos de sistemas distribuidos.

44 vistas

Análisis Común de Logs de Elasticsearch para una Solución de Problemas Eficaz

Elasticsearch es un motor de búsqueda y análisis distribuido y potente, pero su complejidad significa que, cuando algo sale mal, diagnosticar la causa raíz puede ser un desafío. La herramienta más importante para una solución de problemas eficaz es el archivo de log de Elasticsearch. Estos logs actúan como el diario operativo del sistema, registrando todo, desde secuencias de inicio exitosas y mantenimiento rutinario del clúster hasta fallos críticos como disparos del circuit breaker de memoria o fallos en la asignación de shards.

Dominar el arte de leer e interpretar estos logs es esencial para mantener un clúster saludable y con buen rendimiento. Esta guía proporciona un enfoque integral para comprender la estructura de los logs de Elasticsearch, identificar mensajes críticos y utilizar el análisis de logs para detectar y resolver rápidamente problemas operativos comunes, incluidos problemas de salud del clúster, limitaciones de recursos y cuellos de botella de rendimiento.

1. Comprensión de la Estructura de los Logs de Elasticsearch

Elasticsearch utiliza el framework Apache Log4j 2 para el registro. Por defecto, los logs se escriben en archivos, a menudo en formato JSON para facilitar el análisis por máquinas, aunque el texto plano también es común dependiendo de la configuración.

Ubicación Predeterminada de los Logs

Los archivos de log principales se encuentran típicamente en las siguientes ubicaciones, dependiendo de tu método de instalación (por ejemplo, paquete RPM/DEB, Docker o archivo ZIP):

Tipo de Instalación Ruta Típica del Log
RPM/DEB (Linux) /var/log/elasticsearch/
Docker Salida estándar del contenedor (stdout/stderr)
ZIP/Tarball $ES_HOME/logs/

Anatomía de una Entrada de Log

Cada entrada de log, especialmente en formato JSON, contiene varios campos clave críticos para el contexto:

  • @timestamp: Cuándo ocurrió el evento.
  • level: La gravedad del evento (por ejemplo, INFO, WARN, ERROR).
  • component: La clase o servicio específico de Elasticsearch que generó el mensaje (por ejemplo, o.e.c.c.ClusterService, o.e.n.Node). Esto ayuda a reducir el subsistema responsable.
  • cluster.uuid: Identifica el clúster al que pertenece el log.
  • node.name: Identifica el nodo que generó el log.
  • message: La descripción del evento.
{
  "@timestamp": "2024-01-15T10:30:00.123Z",
  "level": "WARN",
  "component": "o.e.c.r.a.DiskThresholdMonitor",
  "cluster.uuid": "abcde12345",
  "node.name": "es-node-01",
  "message": "high disk watermark [90%] exceeded on [es-node-01]"
}

2. Priorización de la Solución de Problemas con Niveles de Log

Interpretar el campo level es la forma más rápida de priorizar los problemas. Generalmente, deberías filtrar los logs para centrarte primero en los mensajes WARN y ERROR.

Nivel Descripción Prioridad de Acción
ERROR Fallos críticos que provocan interrupción del servicio o pérdida de datos (por ejemplo, apagado de nodo, fallo grave de shard). Inmediata
WARN Problemas o estados potenciales que requieren monitoreo (por ejemplo, configuraciones obsoletas, poco espacio en disco, circuit breaker acercándose a sus límites). Alta
INFO Mensajes operativos generales (por ejemplo, inicio de nodo, creación de índice, asignación de shard completada). Baja/Monitoreo
DEBUG/TRACE Registro muy detallado utilizado solo durante diagnósticos profundos o desarrollo. N/A (A menos que se esté depurando activamente)

Mejor Práctica: Evita ejecutar un clúster de producción con el registro configurado en DEBUG o TRACE, ya que esto puede consumir rápidamente espacio en disco e introducir sobrecarga de rendimiento.

3. Solución de Problemas de Escenarios Comunes a través de Logs

Los logs de Elasticsearch proporcionan indicadores directos para varios tipos de fallos. Aquí hay patrones de log críticos a tener en cuenta en diferentes escenarios.

3.1. Problemas de Inicio y Salud del Clúster

Si un nodo no logra unirse al clúster o el clúster permanece en rojo/amarillo, busca los logs generados durante la secuencia de inicio.

A. Fallos de Comprobaciones de Arranque (Bootstrap Checks)

Elasticsearch realiza comprobaciones de arranque obligatorias al inicio (por ejemplo, asegurando memoria adecuada, descriptores de archivo y memoria virtual). Si fallan, el nodo se apagará inmediatamente.

Patrón de Log: Busca mensajes de bootstrap checks failed.

[2024-01-15T10:00:00,123][ERROR][o.e.b.BootstrapCheck$Bootstrap] [es-node-01] bootstrap checks failed
[2024-01-15T10:00:00,124][ERROR][o.e.b.BootstrapCheck$Bootstrap] [es-node-01] max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]

B. Fallos de Vinculación de Red y Descubrimiento

Problemas en los que los nodos no pueden vincularse a los puertos requeridos o no pueden encontrar otros miembros del clúster.

Patrón de Log: Busca BindException o Discovery failure.

3.2. Gestión de Recursos (Memoria y JVM)

Los problemas relacionados con la memoria a menudo se manifiestan como caídas intermitentes de rendimiento o inestabilidad del nodo. Los logs son cruciales para rastrear la salud de la JVM.

A. Excepciones del Circuit Breaker

El circuit breaker evita el agotamiento de recursos deteniendo las operaciones que exceden los límites de memoria configurados. Cuando se dispara, las operaciones fallan rápidamente, pero el nodo permanece estable.

Patrón de Log: Busca CircuitBreakerException o Data too large.

[2024-01-15T11:45:20,500][WARN][o.e.c.c.CircuitBreakerService] [es-node-02] 
CircuitBreakingException: [parent] Data too large, data for [<transport_request>] would be [123456789b], which is larger than the limit of [100.0/500mb]

B. Problemas de Recolección de Basura (GC) de la JVM

Aunque los logs detallados de GC a menudo están separados, el log principal de Elasticsearch a veces informa de alta actividad de GC o largas pausas de GC (eventos de detención del mundo).

Patrón de Log: Busca referencias a GC, especialmente si aparecen mensajes WARN o ERROR relacionados con pausas largas.

3.3. Fallos de Indexación y Sharding

Los fallos de indexación o los datos corruptos a menudo activan eventos de fallo de shard.

A. Asignación y Fallo de Shard

Cuando un shard no se puede asignar, o un nodo detecta un problema de corrupción con una copia local de un shard, se registra.

Patrón de Log: Busca shard failed o failed to recovery.

[2024-01-15T12:05:10,999][ERROR][o.e.i.e.Engine] [es-node-03] [my_index][2] fatal error in engine loop
java.io.IOException: Corrupt index files, checksum mismatch

B. Marcas de Agua (Watermarks) de Disco

Elasticsearch monitorea el espacio en disco y previene escrituras cuando se alcanzan ciertas marcas de agua, lo que puede causar fallos en la indexación.

Patrón de Log: Busca advertencias de DiskThresholdMonitor, que típicamente indican un uso del 85% (low) o 90% (high).

4. Ajuste de Rendimiento con Slow Logs

Para el análisis de rendimiento, particularmente consultas o operaciones de indexación lentas, los logs principales del clúster a menudo son insuficientes. Elasticsearch utiliza Slow Logs especializados.

Los Slow Logs rastrean operaciones que exceden umbrales de tiempo predefinidos. Deben configurarse explícitamente, ya sea estáticamente en elasticsearch.yml o dinámicamente a través de la API de Configuración de Índices.

Configuración de Umbrales Dinámicos de Slow Log

Puedes establecer diferentes umbrales para las fases de indexación y búsqueda. El siguiente ejemplo establece un umbral WARN de 1 segundo para las consultas de búsqueda en un índice específico.

PUT /my_index/_settings
{
  "index.search.slowlog.threshold.query.warn": "1s",
  "index.search.slowlog.threshold.query.info": "500ms",
  "index.indexing.slowlog.threshold.index.warn": "1s"
}

Interpretación de Entradas de Slow Log

Los Slow Logs proporcionan información detallada sobre la ejecución de la consulta, incluido el índice/shard específico, el tiempo empleado y el contenido de la consulta en sí. Esto permite a los usuarios identificar consultas ineficientes o agregaciones complejas.

Métricas Clave a Buscar:

  • took: Tiempo total empleado para la operación.
  • source: El texto completo de la consulta o la operación de índice.
  • id: El ID del contexto de búsqueda.

5. Mejores Prácticas para el Análisis de Logs

La solución de problemas eficaz se basa en algo más que saber dónde buscar; requiere un enfoque sistemático.

A. Centraliza tus Logs

En un entorno distribuido, examinar manualmente los logs en docenas de nodos no es práctico. Utiliza herramientas de registro centralizadas como Logstash, Filebeat o servicios de registro especializados para agregar logs en un único índice de Elasticsearch (a menudo denominado 'clúster de logging'). Esto te permite buscar, filtrar y correlacionar eventos en todos los nodos simultáneamente.

B. Correlaciona Eventos entre Nodos

Busca eventos relacionados utilizando los campos @timestamp y cluster.uuid. Un shard que falla en nodo-A podría registrarse como un ERROR en ese nodo, pero el gestor del clúster que se ejecuta en nodo-B registrará un INFO o WARN sobre el intento posterior de reasignar el shard.

C. Presta Atención a Patrones Repetitivos

Si ves el mismo mensaje de advertencia o error repetido rápidamente (una 'tormenta de logs'), esto a menudo indica un bucle de fallo continuo e intensivo en recursos, como un proceso que intenta repetidamente vincularse a un puerto no disponible o un disparo continuo del circuit breaker debido a una sobrecarga sostenida. Estos patrones exigen una investigación inmediata.

D. No Ignores los Mensajes WARN

Las advertencias a menudo actúan como indicadores tempranos de futuros fallos catastróficos. Por ejemplo, los mensajes WARN repetidos sobre configuraciones obsoletas o bajo uso de memoria deben abordarse de forma proactiva antes de que escalen a interrupciones de nivel ERROR.

Conclusión

Los logs de Elasticsearch son un recurso invaluable, que proporciona el contexto esencial necesario para ir más allá de las correcciones sintomáticas y diagnosticar la causa raíz de la inestabilidad o el bajo rendimiento del clúster. Al comprender la estructura de logs estándar, priorizar los mensajes según la gravedad y utilizar específicamente los slow logs para el ajuste de rendimiento, los administradores pueden reducir significativamente el tiempo de inactividad y mantener una salud robusta del clúster.