Elasticsearch と OpenSearch ログの SLS への統合分析 - SLS

このトピックでは、Elasticsearch/OpenSearch から Simple Log Service (SLS) にデータをインポートする方法について説明します。インポート後、データをクエリおよび分析できます。

前提条件

実行中の Elasticsearch/OpenSearch クラスターがあること。
プロジェクトと Logstore を作成済みであること。詳細については、「プロジェクトの管理」および「基本的な Logstore の作成」をご参照ください。

サポートされているバージョン

この機能は、Elasticsearch 6.3 以降および OpenSearch 1.0.0 以降をサポートしています。

データインポート構成の作成

Simple Log Service コンソールにログインします。
[データ収集] セクションの [データインポート] タブで、[ES/OpenSearch - データインポート] を選択します。
送信先プロジェクトと Logstore を選択し、[次へ] をクリックします。

インポート設定を構成します。

[インポート設定] ステップで、次のパラメーターを設定します。

パラメーター	説明
ジョブ名	SLS ジョブの一意の名前。
表示名	ジョブの表示名。
ジョブの説明	インポートジョブの説明。
サービスインスタンス URL	Elasticsearch/OpenSearch クラスターの URL。形式は `http://host:port/` です。複数の URL をコンマ (,) で区切って指定できます。例: `http://host1:port1/,http://host2:port2/`。通常、Elasticsearch/OpenSearch クラスターのサービスポートは 9200 です。重要「VPC ID」を指定した場合、`host` を対応する ECS インスタンスの IPv4 アドレスに設定する必要があります。
インデックスリスト	インポートするインデックス。複数のインデックスをコンマ (,) で区切って指定します。例: `index1,index2,index3`。
ユーザー名	Elasticsearch/OpenSearch クラスターのユーザー名。認証が有効になっている場合にのみ必要です。
ユーザーパスワード	指定されたユーザーのパスワード。
時間フィールド	ログ時間を表す Elasticsearch/OpenSearch インデックス内のフィールド。時間フィールドを指定しない場合、Simple Log Service はインポート時間をログ時間として使用します。重要増分インポートを行うには、[時間フィールド] を指定する必要があります。
時間フィールド形式	時間フィールド値を解析するために使用される形式。 yyyy-MM-dd HH:mm:ss などの Java `SimpleDateFormat` 構文をサポートしています。構文の詳細については、「Class SimpleDateFormat」をご参照ください。一般的な時間形式については、「時間形式」をご参照ください。エポック形式をサポートしています。有効な値は `epoch`、`epochMillis`、`epochMacro`、および `epochNano` です。重要 UNIX タイムスタンプを使用するには、[Time Field Format] をエポック形式に設定する必要があります。
タイムゾーン	時間フィールドのタイムゾーン。このパラメーターは、[時刻フィールドのフォーマット] をエポック形式に設定した場合、必須ではありません。
クエリステートメント	データをフィルターするために使用されるクエリ。クエリは Elasticsearch/OpenSearch の `query_string` 形式に従う必要があります。例: `gender:male and city:Shanghai`。詳細については、「Query string query」をご参照ください。
インポートモード	インポートモード。既存データのみをインポート: すべての既存データをインポートした後、インポートジョブは自動的に停止します。増分データを自動的にインポート: インポートジョブは継続的に実行され、新しいデータをインポートします。重要 [増分データを自動的にインポート] を選択した場合は、[時間フィールド] を指定する必要があります。
開始時刻	開始時刻を指定すると、時間フィールドの値が開始時刻以降の場合にのみデータがインポートされます。重要このパラメーターは、[時間フィールド] が指定されている場合にのみ効果があります。
終了時刻	終了時刻を指定すると、時間フィールドの値が終了時刻以前の場合にのみデータがインポートされます。重要このパラメーターは、[時刻フィールド] が指定され、かつ [インポートモード] が [過去のデータのみをインポート] に設定された場合にのみ有効になります。
最大データ遅延 (秒)	データが生成されてから Elasticsearch/OpenSearch にインデックス付けされるまでの最大許容遅延 (秒単位)。重要実際の遅延よりも低い値を設定すると、インポート中にデータ損失が発生する可能性があります。このパラメーターは、[時刻フィールド]が指定され、かつ[インポートモード]が[増分データを自動的にインポート]に設定された場合にのみ有効になります。
新しいデータの期間をチェックする (秒)	SLS が Elasticsearch/OpenSearch で新しいデータをチェックする間隔 (秒単位)。デフォルト値: 300。最小値: 60。
VPC ID	ソースクラスターが VPC 内の Alibaba Cloud Elasticsearch/OpenSearch クラスターであるか、ECS インスタンス上のセルフマネージドクラスターである場合、VPC ID を指定します。これにより、SLS は Alibaba Cloud 内部ネットワーク経由でデータを読み取り、より優れたセキュリティとネットワーク安定性を提供できます。重要ソースクラスターは、CIDR ブロック 100.104.0.0/16 からのアクセスを許可する必要があります。

「[プレビュー]」をクリックして、インポート結果をプレビューします。
プレビューを確認した後、[次へ] をクリックします。

データをプレビューし、インデックスを構成した後、次へをクリックします。デフォルトでは、Simple Log Service は フルテキストインデックス を有効にします。収集されたログに基づいて フィールドインデックス を手動で作成することも、自動インデックス生成 をクリックして Simple Log Service に自動的に作成させることもできます。詳細については、「インデックスの作成」をご参照ください。

重要
ログデータ内のすべてのフィールドをクエリする必要がある場合は、フルテキストインデックスを使用することをお勧めします。特定のフィールドのみをクエリする必要がある場合は、フィールドインデックスを使用してインデックストラフィックを削減します。SELECT ステートメントを使用してフィールドを分析するには、フィールドインデックスを作成する必要があります。
[クエリログ] をクリックします。その後、Logstore のクエリと分析ページにリダイレクトされます。
インデックスが有効になるまで約 1 分待つ必要があります。その後、[生ログ] タブで収集されたログを表示できます。ログのクエリと分析方法の詳細については、「使用開始」をご参照ください。

データインポート構成の表示

データインポート構成を作成した後、コンソールで構成の詳細と関連する統計レポートを表示できます。

プロジェクトセクションで、送信先プロジェクトをクリックします。
送信先 Logstore に移動します。左側のナビゲーションウィンドウで、データ収集 > データインポート を選択し、構成の名前をクリックします。
[インポート構成の概要] ページで、構成の基本情報と統計レポートを表示します。

よくある質問

問題	考えられる原因	ソリューション
データプレビュー中に接続エラー (`failed to connect`) が発生します。	指定された Elasticsearch/OpenSearch クラスターの URL が無効です。インポートサービスの IP アドレスがソースクラスターのホワイトリストに追加されておらず、アクセスが妨げられています。 Alibaba Cloud でホストされているクラスターからデータをインポートするときに、VPC ID を指定しませんでした。	指定された Elasticsearch/OpenSearch クラスターの URL が正しいことを確認します。必要な IP アドレスをクラスターのホワイトリストに追加して、インポートサービスへのアクセスを許可します。詳細については、「IP アドレスホワイトリスト」をご参照ください。内部ネットワーク経由で Alibaba Cloud 上のクラスターからデータをインポートする場合は、正しい VPC ID が指定されていることを確認します。
データプレビュー中にタイムアウトエラー (`preview request timed out`) が発生します。	ソース Elasticsearch/OpenSearch インデックスにデータがないか、フィルター条件に一致するデータがありません。	インデックスにデータがない場合は、インデックスにデータを書き込んでから、再度プレビューを試します。指定された時間フィールドと形式が実際のデータと一致することを確認します。ソースインデックスに、指定されたクエリまたは時間範囲に一致するデータが含まれていることを確認します。
Simple Log Service に表示されるログ時間がソースデータのタイムスタンプと一致しません。	時間フィールドが指定されていないか、時間形式またはタイムゾーンが誤って構成されています。	正しい時間フィールド、時間形式、およびタイムゾーンを指定します。詳細については、「データインポート構成の作成」をご参照ください。
インポートされたデータをクエリまたは分析できません。	データがクエリ時間範囲外です。インデックスが構成されていません。インデックスが有効になっていません。	データのタイムスタンプがクエリ時間範囲内にあるかどうかを確認します。そうでない場合は、時間範囲を調整して再度クエリを実行します。 Logstore にインデックスが構成されているかどうかを確認します。そうでない場合は、インデックスを作成します。詳細については、「インデックスの作成」および「インデックスの再作成」をご参照ください。インデックスが設定されており、[Data Processing Insight] ダッシュボードにインポートされたデータの予想量が表示されている場合、インデックスが適用されていない可能性があります。ログのインデックスの再作成を試してください。詳細については、「インデックスの再作成」をご参照ください。
インポートされたログエントリの数が予想よりも少ないです。	一部のソースデータドキュメントは、3 MBより大きくなる場合があります。これは、[Data Processing Insight] ダッシュボードで確認できます。	ソースクラスター内の個々のデータドキュメントのサイズを小さくします。
増分インポートが有効になっている場合、新しいデータのインポートに大幅な遅延が発生します。	[Maximum Data Latency (Seconds)] の値が大きすぎます。ソースクラスターの帯域幅が制限に達しています。インターネット経由でデータをインポートする際のネットワーク接続が不安定です。 Logstore のシャード数が少なすぎます。その他の考えられる原因については、「パフォーマンス制限」をご参照ください。	「[最大データ遅延（秒）]」に適切な値を設定し、実際の遅延に基づいて調整してください。ソースクラスターのトラフィックが帯域幅制限に達しているかどうかを確認します。これは、Alibaba Cloud にデプロイされているクラスターにとって特に重要です。制限に達しているか、近づいている場合は、帯域幅をスペックアップします。インターネット経由でデータをインポートする場合は、十分な帯域幅があることを確認します。 Logstore のシャード数が少なすぎる場合は、Shard Count を増やして遅延を監視します。詳細については、「シャードの管理」をご参照ください。

エラー処理メカニズム

エラー

説明

Elasticsearch/OpenSearch クラスターとの通信エラー

インポートジョブは scroll API を使用して Elasticsearch/OpenSearch からデータをプルし、デフォルトのキープアライブ期間は 24 時間です。ネットワーク接続エラーや認証エラーなどのその他の通信障害が発生した場合、ジョブは自動的に再試行します。

24 時間以内に接続を復元できない場合、Elasticsearch/OpenSearch クラスターはスクロールセッション情報をクリアします。この操作により、インポートジョブの再開が妨げられ、「No search context found」エラーが発生します。この場合、新しいインポートジョブを作成する必要があります。

Simple Log Service:Elasticsearch/OpenSearch からのデータインポート