使用亚马逊OpenSearch日志监控CloudWatch日志 - 亚马逊 OpenSearch 服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用亚马逊OpenSearch日志监控CloudWatch日志

亚马逊Ser OpenSearch vice 通过 Amazon OpenSearch Logs 公开以下CloudWatch日志:

搜索慢速日志、索引慢速日志和错误日志有助于排查性能和稳定性问题。审核日志跟踪用户活动,以达到合规性目的。所有日志默认情况下已禁用。如果启用,则应用标准 CloudWatch 定价

注意

错误日志仅可用于 Elasticsearch OpenSearch 和 Elasticsearch 版本。慢速日志可用于所有版本OpenSearch和 Elasticsearch。

对于其日志,OpenSearch 使用 Apache Log4j 2 及其内置日志级别(按最不严重到最严重的顺序排列):TRACEDEBUGINFOWARNERRORFATAL

如果您启用错误日志,OpenSearch服务会将WARNERROR、和的日志行发布FATAL到CloudWatch。OpenSearchService 还会从 Servation 发布该DEBUG级别的几个异常,其中包括:

  • org.opensearch.index.mapper.MapperParsingException

  • org.opensearch.index.query.QueryShardException

  • org.opensearch.action.search.SearchPhaseExecutionException

  • org.opensearch.common.util.concurrent.OpenSearchRejectedExecutionException

  • java.lang.IllegalArgumentException

错误日志在许多情况下有助于诊断,包括:

  • Painless 脚本编译问题

  • 无效的查询

  • 索引问题

  • 快照失败

  • 索引状态管理迁移失败

启用日志发布(控制台)

S OpenSearch ervice 控制台是启用日志发布的最简单方法CloudWatch。

启用将日志发布到 CloudWatch(控制台)
  1. 转至 https://aws.amazon.com,然后选择 Sign In to the Console (登录控制台)

  2. 在 “分析” 下,选择 “亚马逊OpenSearch服务”。

  3. 选择要更新的域。

  4. Logs(日志)选项卡上,选择一种日志类型,然后选择 Enable(启用)

  5. 新建CloudWatch日志组。

    注意

    如果计划启用多个日志,建议将它们发布到相应的日志组。这样分开更便于进行日志扫描。

  6. 选择一个包含适当权限的访问策略,或使用控制台提供的 JSON 创建策略:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "es.amazonaws.com" }, "Action": [ "logs:PutLogEvents", "logs:CreateLogStream" ], "Resource": "cw_log_group_arn:*" } ] }

    建议您在策略中使用 aws:SourceAccountaws:SourceArn 条件键来防止出现混淆代理人问题。源帐户是域的所有者,并且源 ARN 是域的 ARN。您的域必须在服务软件 R20211203 或更高版本上才能添加这些条件键。

    例如,您可以将以下条件块添加到策略:

    "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:es:region:account-id:domain/domain-name" } }
    重要

    CloudWatch日志支持每个区域 10 个资源策略。如果您计划针对多个S OpenSearch ervation 域启用日志,应创建并重用包含多个日志组的更宽泛的策略,以避免达到此限制。有关更新您的策略的步骤,请参阅启用日志发布 (Amazon CLI)

  7. 请选择 Enable

    您的域状态将从 Active 更改为 Processing。在启用日志发布之前,必须重新回到 Active 状态。此项更改通常需要 30 分钟,但可能需要更长时间,具体取决于您的域配置。

如果您已启用慢速日志之一,请参阅为慢速OpenSearch日志设置日志记录阈值。如果启用了审核日志,请参阅 步骤 2:开启审核日志OpenSearch仪表板。如果您仅启用了错误日志,您不需要执行任何其他配置步骤。

启用日志发布 (Amazon CLI)

您需要有一个 CloudWatch 日志组,才能启用日志发布。如果还没有日志组,可以使用以下命令创建一个:

aws logs create-log-group --log-group-name my-log-group

输入下一命令查找日志组的 ARN,然后将它记下来

aws logs describe-log-groups --log-group-name my-log-group

现在,您可以授予 S OpenSearch ervice 写入日志组的权限。您必须在命令结尾处提供日志组的 ARN:

aws logs put-resource-policy \ --policy-name my-policy \ --policy-document '{ "Version": "2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Principal": { "Service": "es.amazonaws.com"}, "Action":[ "logs:PutLogEvents","logs:CreateLogStream"],"Resource": "cw_log_group_arn:*"}]}'
重要

CloudWatch日志支持每个区域 10 个资源策略。如果您计划针对多个Serv OpenSearch ice 域启用慢速日志,应创建并重用包含多个日志组的更宽泛的策略,以避免达到此限制。

如果您以后需要查看此策略,请使用 aws logs describe-resource-policies 命令。要更新策略,请发出带有新策略文档的相同 aws logs put-resource-policy 命令。

最后,可以使用 --log-publishing-options 选项来启用发布。该选项的语法与 create-domainupdate-domain-config 命令相同。

参数 有效值
--log-publishing-options SEARCH_SLOW_LOGS={CloudWatchLogsLogGroupArn=cw_log_group_arn,Enabled=true|false}
INDEX_SLOW_LOGS={CloudWatchLogsLogGroupArn=cw_log_group_arn,Enabled=true|false}
ES_APPLICATION_LOGS={CloudWatchLogsLogGroupArn=cw_log_group_arn,Enabled=true|false}
AUDIT_LOGS={CloudWatchLogsLogGroupArn=cw_log_group_arn,Enabled=true|false}
注意

如果计划启用多个日志,建议将它们发布到相应的日志组。这样分开更便于进行日志扫描。

示例

下面的示例为指定域启用搜索和索引慢速日志的发布:

aws opensearch update-domain-config \ --domain-name my-domain \ --log-publishing-options "SEARCH_SLOW_LOGS={CloudWatchLogsLogGroupArn=arn:aws:logs:us-east-1:123456789012:log-group:my-log-group,Enabled=true},INDEX_SLOW_LOGS={CloudWatchLogsLogGroupArn=arn:aws:logs:us-east-1:123456789012:log-group:my-other-log-group,Enabled=true}"

要禁用到 CloudWatch 的发布,请在 Enabled=false 的情况下运行同一命令。

如果您已启用慢速日志之一,请参阅为慢速OpenSearch日志设置日志记录阈值。如果启用了审核日志,请参阅 步骤 2:开启审核日志OpenSearch仪表板。如果您仅启用了错误日志,您不需要执行任何其他配置步骤。

启用日志发布 (Amazon SDK)

您必须先创建一个日志组,获取其 ARN,并为 Serv OpenSearch ice 授予CloudWatch日志组写入权限,然后才能启用日志发布。相关操作记录在 Amazon CloudWatch Logs API 参考中:

  • CreateLogGroup

  • DescribeLogGroup

  • PutResourcePolicy

您可以使用 Amazon SDK 访问这些操作。

Amazon开发工具包(除 Android 和 iOS 开发工具包之外)支持在 Amazon Serv OpenSearch ice API 参考中定义的所有操作,包括和的--log-publishing-optionsCreateDomain选项。UpdateDomainConfig

如果您已启用慢速日志之一,请参阅为慢速OpenSearch日志设置日志记录阈值。如果您仅启用了错误日志,您不需要执行任何其他配置步骤。

启用日志发布 (CloudFormation)

在此示例中,我们将创建一个名为opensearch-logs、分配相应的权限,然后创建一个域并为应用程序日志、搜索慢速日志和索引慢速日志启用日志发布。CloudFormation

您需要创建一个日志组,才能启用CloudWatch日志发布:

Resources: OpenSearchLogGroup: Type: AWS::Logs::LogGroup Properties: LogGroupName: opensearch-logs Outputs: Arn: Value: 'Fn::GetAtt': - OpenSearchLogGroup - Arn

模板将输出日志组的 ARN。在本例中,ARN 为 arn:aws:logs:us-east-1:123456789012:log-group:opensearch-logs

使用 ARN,创建一个资源策略来授予 S OpenSearch ervice 写入日志组的权限:

Resources: OpenSearchLogPolicy: Type: AWS::Logs::ResourcePolicy Properties: PolicyName: my-policy PolicyDocument: "{ \"Version\": \"2012-10-17\", \"Statement\": [{ \"Sid\": \"\", \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"es.amazonaws.com\"}, \"Action\":[ \"logs:PutLogEvents\",\"logs:CreateLogStream\"],\"Resource\": \"arn:aws:logs:us-east-1:123456789012:log-group:opensearch-logs:*\"}]}"

最后,创建以下CloudFormation堆栈,该堆栈使用具有日志发布的Serv OpenSearch ice 域。访问策略允许 Amazon Web Services 账户 的用户向域发出所有 HTTP 请求:

Resources: OpenSearchServiceDomain: Type: "AWS::OpenSearchService::Domain" Properties: DomainName: my-domain EngineVersion: "OpenSearch_1.0" ClusterConfig: InstanceCount: 2 InstanceType: "r6g.xlarge.search" DedicatedMasterEnabled: true DedicatedMasterCount: 3 DedicatedMasterType: "r6g.xlarge.search" EBSOptions: EBSEnabled: true VolumeSize: 10 VolumeType: "gp2" AccessPolicies: Version: "2012-10-17" Statement: Effect: "Allow" Principal: AWS: "arn:aws:iam::123456789012:user/es-user" Action: "es:*" Resource: "arn:aws:es:us-east-1:123456789012:domain/my-domain/*" LogPublishingOptions: ES_APPLICATION_LOGS: CloudWatchLogsLogGroupArn: "arn:aws:logs:us-east-1:123456789012:log-group:opensearch-logs" Enabled: true SEARCH_SLOW_LOGS: CloudWatchLogsLogGroupArn: "arn:aws:logs:us-east-1:123456789012:log-group:opensearch-logs" Enabled: true INDEX_SLOW_LOGS: CloudWatchLogsLogGroupArn: "arn:aws:logs:us-east-1:123456789012:log-group:opensearch-logs" Enabled: true

有关详细的语法信息,请参阅 Amazon CloudFormation 用户指南中的日志发布选项

为慢速OpenSearch日志设置日志记录阈值

默认情况下,OpenSearch 禁用慢速日志。在启用到 的慢速日志发布CloudWatch 后,仍必须为每个 OpenSearch 索引指定日志记录阈值。这些阈值精确定义应在哪个日志级别记录哪些内容。

您可以通过 OpenSearch REST API 指定这些设置:

PUT domain-endpoint/index/_settings { "index.search.slowlog.threshold.query.warn": "5s", "index.search.slowlog.threshold.query.info": "2s" }

要测试慢速日志是否发布成功,请考虑从非常值开始验证日志是否出现在 CloudWatch 中,然后将阈值增大到更有用的级别。

如果日志没有显示,请检查以下内容:

  • CloudWatch 日志组是否存在? 检查 CloudWatch 控制台。

  • S OpenSearch ervice 是否有日志组写入权限? 检查OpenSearch服务控制台。

  • S OpenSearch ervation 是否已配置为发布到该日志组? 检查OpenSearch服务控制台,使用Amazon CLIdescribe-domain-config选项,或DescribeDomainConfig使用其中一个 SDK 进行呼叫。

  • OpenSearch 日志记录阈值是否足够低,让您的请求超过这些阈值? 要查看索引阈值,请使用以下命令:

    GET domain-endpoint/index/_settings?pretty

如果要禁用索引的慢速日志,请将您更改的任何阈值恢复为其默认值 -1

CloudWatch使用 Serv OpenSearch ice 控制台或Amazon CLI禁用发布OpenSearch日志;只会停止发布这些日志。请务必检查索引设置,确定是否还需要这些慢速日志。

查看日志

在 CloudWatch 中查看应用程序和慢速日志,方法与查看任何其他 CloudWatch 日志一样。有关更多信息,请参阅 Amazon Lo CloudWatch gs 用户指南中的查看日志数据

下面是查看日志时的一些注意事项:

  • OpenSearchService 仅将每一行中的前 255,000 个字符发布到。CloudWatch其余任何内容都将被截断。对于审核日志,每条消息为 10,000 个字符。

  • 在中CloudWatch,日志流名称的后缀为-index-slow-logs-search-slow-logs-application-logs、和,-audit-logs以帮助识别其内容。