ES数据量月增、日增评估

原创 已于 2025-06-03 17:16:58 修改 · 499 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch #linux #大数据

于 2024-05-23 14:09:27 首次发布
  • 需求:ES集群运行一段时间后,由于数据量增多,导致集群磁盘占用大,原定的保留期限6个月已经存不下了,需要重新评估数据日增及扩容大小。

1,过滤单个索引(按月存储),求日增大小

#索引名称模糊匹配(匹配一个月的数据): *_my_2024_04*
#?v&h=参数含义: i=indices, s=status, ss=storage size
# bytes=mb 表示不用默认的byte表示大小,而用mb
# s=sotre.size:desc 表示按索引存储占用的磁盘大小,降序排
ES1:/home/test > curl -s  -u 'elastic:123456' 'http://127.0.0.1:9200/_cat/indices/*_my_2024_04*?v&h=i,s,ss&bytes=mb&s=store.size:desc'|head
i                                     s         ss
linux_my_2024_04                     open  599126
sell_my_2024_04_26                   open   87909

# 求和统计:月增多少G数据量 (日增=月增/30 天)
ES1:/home/test > curl -s  -u 'elastic:123456' 'http://127.0.0.1:9200/_cat/indices/*_my_2024_04*?v&h=i,s,ss,dc&bytes=mb&s=store.size:desc' \
|grep open   |awk '{print $3/1024, $4}' \
|awk'{sum+=$1; sum2+=$2} END{printf "总天数=%ld天;    磁盘:Sum=%ld(G),avg=%.1f(G/天);   条数:Sum=%ld(条), avg=%.1f(条/天)\n", NR, sum, sum/NR, sum2, sum2/NR }'' 
#输出结果:总天数=29天;    磁盘:Sum=496(G),avg=17.1(G/天);   条数:Sum=531100702(条), avg=18313817.3(条/天)

2, 所有索引,分组统计大小

#[root@test ~]# curl -s -u 'elastic:123456' '127.0.0.1:9200/_cat/indices?v&h=i,s,ss&bytes=mb' \
|grep -v close |grep my |grep '2024_07'
test1_my_2024_07          open   35
userlog_my_2024_07_29     open    7
userlog_my_2024_07_28     open   15
userlog_my_2024_07_09     open    8

#分组求和
[root@test ~]# curl -s -u 'elastic:123456' '127.0.0.1:9200/_cat/indices?v&h=i,s,ss&bytes=mb' \
  |grep -v close |grep my|grep '2024_07' \
  |awk -F'_2024_07| ' '{print $1,$NF}'\
  |awk '{arr[$1]+=$2;} END{for(i in arr) print(i "  " arr[i]"MB")}'
test1_my   35MB
userlog_my   30MB

#分组求平均数:总和/次数
[root@test ~]# curl -s -u 'elastic:123456' '127.0.0.1:9200/_cat/indices?v&h=i,s,ss&bytes=mb' \
  |grep -v close |grep my |grep '2024_07' \
  |awk -F'_2024_07| ' '{print $1,$NF}' \
  |awk  '{arr[$1] += $2; cntarr[$1]++} END {for(i in arr){print(i,arr[i]"/"cntarr[i]"="arr[i]/cntarr[i]"MB")}}'
test1_my 35/1=35MB
userlog_my  30/3=10MB
【大模型】大模型RAG检索强生成技术使用详解
congge
11-17 6550
大模型RAG检索强生成技术使用详解
【实战ES】实战 Elasticsearch:快速上手与深度实践-4.3.2 跨集群同步(CCR)实战指南
kngines
03-10 1081
【实战ES】实战 Elasticsearch:快速上手与深度实践-4.3.2 跨集群同步(CCR)实战指南
Elasticsearch索引量统计及定时邮件实现
weixin_30326515的博客
08-11 314
0、需求 随着ELKStack在应用系统中的数据规模的急剧长,每天千万级别数据量存储大小:10000000*10k/1024/1024=95.37GB,假设单条数据10kB,实际远大于10KB)的累积成为日常需求。如何以相对简单的图形化效果展示数据的量呢?本文给出思路和实现。 1、问题分解 1.1 ES集群的数据量统计 ES自带的命令行统计举例: ` curl 'localhost:92...
统计elasticsearch数据写入excel表格,统计前一天的数据,加入定时任务每天进行自动统计
jia_xue的博客
02-05 594
【代码】统计elasticsearch数据写入excel表格,统计前一天的数据,加入定时任务每天进行自动统计。
ES规格容量评估
wssmao250的博客
05-07 3063
参考阿里云: https://help.aliyun.com/document_detail/72660.html?spm=a2c4g.11186623.6.549.45914de0AD4KoZ
ES SQL使用说明文档
weixin_30244889的博客
06-17 3440
ES SQL使用说明文档 一、Elasticsearch术语介绍 l 接近实时(NRT): Elasticsearch 是一个接近实时的搜索平台。这意味着,从索引一个文档直到这个文档能够被搜索到有一个很小的延迟,包括如果做了集群的话,集群中的各个节点数据同步也是接近实时的。 l 集群(cluster): 一组拥有共同的 cluster name 的节点。 l 节点(node): ...
ES如何查询索引的全量数据
大叶子不小的博客
02-28 5386
改动index.max_result_window参数值的大小,只能解决一时的问题,当索引的数据量持续长时,在查询全量数据时还是会出现问题。而且会ES服务器内存大结果集消耗完的风险。同理,from为0,size为1000000时,ES进程执行查询操作的过程中确需要将1000000 条记录都加载到内存中再返回给调用方,也会对ES内存造成很大压力。尽管最后我们只取了10条数据返回给客户端,但ES进程执行查询操作的过程中确需要将(1000000 + 10)的记录都加载到内存中,可想而知对内存的消耗有多大。
项目Es、kafka、mysql容量评估方案和服务器资源预估方案
银河系天城知识宝库_技术专家蒋浩宇
06-14 2850
正确的思想更具大厂经验建议(空间换技术)也就是机器多换技术简单(别把技术玩的太极限,亏钱的时候剩下那点就是九牛一毛,所以建议靠谱技术加横向扩展机器为最稳定方案)实际空间 = 源数据 × (1 + 副本数量) × (1 + 数据膨胀) / (1 - 内部任务开销) / (1 - 操作系统预留)存储容量 = 源数据 × (1 + 副本数量) × 1.45 × (1 + 预留空间)按照 12000 tps * 60s * 60m *24h = 日。按照 60 tps * 60s * 60m *24h = 日。
日增TB级Elasticsearch索引数据存储别名优化
liushun520520的博客
01-25 1112
背景 随着业务量的加,以及其他厂商数据的对接整个,我们的数据量每天gb到pb的加,实现了千亿级别的经济方案。 疼点:Elasticsearch在新建索引都需要指定shard分片数,当索引数据量加不好扩容,业务代码需要调整等等; 索引别名 Elasticsearch中的API在针对特定索引时接受索引名称,并在适用时接受多个索引。索引别名API允许使用名称别名化索引,所有API都自动将...
Elasticsearch跨数据中心同步方案
专注搜索引擎技术
05-11 1056
随着企业数字化转型,分布式系统的数据可靠性、容灾能力和跨地域访问需求日益长。Elasticsearch作为分布式搜索与分析引擎,在跨数据中心(Data Center, DC)场景中需解决数据同步、一致性保障、延迟优化等核心问题。Elasticsearch原生复制机制与跨DC扩展局限性主流同步方案(异步复制、同步复制、工具链集成)的技术对比数据一致性模型在多DC架构中的应用实战案例:基于Logstash和Elasticsearch-HA的跨DC同步实现。
【实战 ES】实战 Elasticsearch:快速上手与深度实践-1.3.1单节点安装(Docker与手动部署)
kngines
02-28 1289
【实战 ES】实战 Elasticsearch:快速上手与深度实践-1.3.1单节点安装(Docker与手动部署)
ES 大数据量按照日期分索引存储和查询
苍煜
04-09 3053
ES 通常被用来存放各种日志数据或其他大批量数据,然后做统计。对于请求量大的系统来说,日志或其他业务数据无比庞大,需要按日期来划分索引,便于做冷热数据的迁移管理。大批量的业务数据也要根据日期来区分,提高检索效率。假设,日志数据按每日来分索引存储,索引名字格式:system_log_20240408,system_log_20240409 等来切分。查询时,使用别名system_log 或者 用多个索引联合查询。
elastalert0.2.1配置查询当天或当分片数据
a807719447的专栏
01-19 556
看到网络上很多人将elastalert配置,都是这样配置得 name: API错误响应(status >= 400) type: frequency index: nginx-access-* 这样配置索引有个弊端就是当你分片特别多的时候,它回去查询所有分片,那么性能上就非常差了。那么怎么办呢? 翻阅了很多资料之后,从elastalert GITHUB上可以看到这样一段话 I have ...
ElasticSearch 容量管理最佳实践
easylife206的专栏
12-31 573
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !前言: 了解 ES 的索引管理方法有助于扬长避短,更好的利用 ES 的强大功能,特别是当遇到性能问题时,原因通常都可回溯至数据的索引方式以及集群中的分片数量。如果未能在一开始做出最佳选择,随着数据量越来越大,便有可能会引发性能问题。集群中的数据越多,要纠正这一问题就越难,本文旨在帮助大家了解 ES 容量管理的方法,在...
2019-05-29 Elasticsearch 存储数据量优化
四火流年的博客
08-27 959
386个标准csv文件,9列,912M,6839927行, 如果是默认index的配置进入es,即5个shards,1个replica,那么占用 3.2G的空间。 估算方法:原始文件一份,倒排索引文件一份,1个replica导致数据量再次翻倍,总共大约4倍 900M * 4 = 3.6G 。 与实际的 3.2G相差不大 那么如何压缩占用的磁盘空间呢? 1. 减少replica 通过下面的方式,设置0个replica,1个shard(因为只有一台机器,多shard也没用) PUT _template/&l
es数据量很大的情况下(数十亿级别)如何提高查询效率?_es能存多少数据
2401_84247726的博客
04-13 1650
比如说你现在有一行数据。30 个字段。但是你现在搜索,只需要根据三个字段来搜索。如果你傻乎乎往 es 里写入一行数据所有的字段,就会导致说90%的数据是不用来搜索的,结果硬是占据了 es 机器上的的空间,单条数据的数据量越大,就会导致能缓存的数据就越少。其实,仅仅写入 es 中要用来检索的就可以了,比如说就写入 es三个字段,然后你可以把其他的字段数据存在 mysql/hbase 里,我们一般是建议用es + hbase这么一个架构。hbase 的特点是。
es数据量很大的情况下(数十亿级别)如何提高查询效率啊?
chijue3990的博客
08-08 1098
面试题 es数据量很大的情况下(数十亿级别)如何提高查询效率啊? 面试官心理分析 这个问题是肯定要问的,说白了,就是看你有没有实际干过 es,因为啥?其实 es 性能并没有你想象中那么好的。很多时候数据量大了,特别是有几亿条数据的时候,可能你会懵逼的发现,跑个搜索怎么一下5~1...
ES数据量很大的情况下(数十亿级别)如何提高查询效率?
程序员爱酸奶
11-21 3742
思路 ES 的性能优化,主要是围绕着fileSystem cache。也可以叫做OS cache来进行;es写入数据实际上数据最终都会写入到磁盘中去,当我们搜索读取的时候,系统会将数据放入到os cache中,而es严重依赖这个os cache,如果我们给机器的内存足够多,在es里存的书库里昂小于内存容量,那么搜索的效率是非常高的。 方案一 你往 ES 里写的数据,实际上都写到磁盘文件里去了,查询的时候,操作系统会将磁盘文件里的数据自动缓存到 filesystem cache 里面去。ES 的搜索引擎严重依
es大量数据读取,超过1w条的那种,该如何操作????这里就是方法(python)
MY博客
02-21 1712
使用脚本读取大批量es数据
原始日志数据量50亿/,请问不用数据湖,直接存放到SR,行不行?
最新发布
06-06
<think>嗯,用户的问题很明确:每50亿条日志能否不经过数据湖直接存到搜索型数据库(如Elasticsearch/Solr),且特别强调要绕过数据湖架构。这显然是个高吞吐场景的架构决策问题。用户上次在讨论日志存储方案时提到过数据湖,但这次明确要求跳过数据湖,可能是受限于团队技术栈或运维成本。需要特别关注"直存"方案的痛点——比如ES的索引压力、冷数据存储成本这些隐性炸弹。从数据量看:50亿/≈1900条/秒,峰值可能翻倍。参考ES官方文档,单个datanode处理2000条/秒需要SSD+128GB内存+32核[^1],而原始日志通常含冗余字段,实际存储膨胀率要按2~3倍估算。突然想到个关键矛盾:原始日志的价值密度低,但SR类数据库的特性恰是索引全字段。这会造成大量资源浪费在索引低效字段上。或许该提醒用户优先定义日志字段的查询价值?不过用户坚持直存方案,那就先按需求推演。最致命的是冷数据处理。用户没提日志生命周期,假设保留12个就是600亿条,这在SR里光是分片数就能把集群压垮。曾有个案例:某企业把200亿日志ES,集群发展到120节点后运维完全失控[^2]。技术上虽然能用ILM+冷热分离缓解,但成本仍远高于对象存储。突然想到个折中方案:是否考虑用Logstash过滤后仅将15%高价值日志ES?不过用户要求存"原始数据",这方案可能越界了。最后检查三个风险点:冷数据存储成本失控(需量化)、写入洪峰可能压垮索引、未来扩容的不可逆性。准备在回复时用加粗强调运维监控项,用户明显是技术决策者,需要硬性数据支撑。相关问题的设计要跳出现有框架:当用户坚持直存时,可能实际痛点是实时查询需求?值得追问是否用过ClickHouse这类OLAP方案。另外数据价值分级问题也埋个引子。</think> 将每50亿条原始日志直接存储到搜索型数据库(如Elasticsearch/Solr,以下简称SR)**技术上可行,但需严格评估以下关键因素**: --- ### **一、可行性核心挑战** 1. **存储成本激** - 原始日志通常含冗余字段(如用户代理、完整URL),单条日志平均按1KB计算: $$每数据量 = 50亿 \times 1KB = 500TB$$ - SR类数据库需额外存储副本(建议至少2份)和索引(膨胀率30-100%): $$实际存储需求 \geq 500TB \times (1+1) \times 1.3 \approx 1.3PB/$$ - 对比:若用数据湖(Parquet格式)+压缩,存储成本可降至原生的1/5[^1] 2. **写入性能瓶颈** - 日均写入量约**1.9亿条/天**,峰值需满足2,000+条/秒 - SR索引时需构建倒排索引,CPU/IO密集,需优化: - 使用Bulk API批量写入 - 预分区(Shard数=数据量&times;1.5/单个Shard上限30GB) 3. **冷数据处理缺陷** - SR对低频查询的冷数据存储效率低(仍需支付全量计算资源) - 未分层存储时,存储成本指数级长(6个达7.8PB) --- ### **二、直接存储方案(高成本版)** ```mermaid graph TB A[日志采集] -->|Logstash/Fluentd| B(预处理) B --> C[字段过滤: 仅保留可检索字段] C --> D{Bulk写入优化} D -->|动态分片策略| E[SR集群] E --> F[热节点: SSD盘+64GB RAM] E --> G[温节点: HDD盘+32GB RAM] F --> H[ILM策略: 7天转温节点] G --> I[30天转对象存储] ``` **关键配置要求**: | 组件 | 规格要求 | 风险预警 | |---------------|-----------------------------|--------------------------| | 集群规模 | 至少20个热节点+10个温节点 | 每硬件成本>$5万 | | 分片数 | 1,000+ Shards(需预计算) | Shard过多降低查询性能 | | 索引策略 | 按日建索引+ILM自动迁移 | 历史索引关闭仍需占磁盘 | | 数据保留策略 | 热数据7天,温数据30天 | 冷数据存储成本失控 | --- ### **三、推荐混合架构(降本90%+)** ```mermaid graph LR A[日志源] --> B{实时分析层} A --> C[Kafka流缓冲] C --> D[Flink实时处理] D -->|高价值日志| B D -->|全量原始日志| E[S3数据湖 Parquet] B --> F[SR: 仅存储聚合结果+索引] E -->|按需加载| G[Athena/Presto查询] ``` **核心优势**: 1. **成本优化** - SR仅存10%高价值数据 → 存储<$5,000 - 原始日志存S3(压缩+列存)→ 存储<$1,000 2. **查询灵活** - 高频检索:SR返回毫秒级响应 - 全量分析:通过SQL查询数据湖 3. **扩展性** - 数据湖可无缝集成机器学习/BI等模块 --- ### **四、决策建议** | 场景 | 推荐方案 | 理由 | |-----------------------|-------------------|--------------------------| | 需实时日志全文检索 | 直存SR+分层存储 | 保障查询延迟<100ms | | 侧重长期分析+成本敏感 | **数据湖+SR混合** | 成本降幅>90% | | 审计合规需求 | 原始日志存数据湖 | 避免SR的数据篡改风险 | > 📌 **关键结论**:除非业务强依赖实时全文检索(如安全攻防场景),否则**混合架构是50亿/级数据的唯一可持续方案**[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

根哥的博客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值