5.1.5 日志查询

阿里云Elasticsearch的日志功能，可以输入关键字和设置时间范围，锁定需要查询的日志内容，快速定位集群问题，辅助集群运维。

日志主要包含主日志、Searching慢日志、Indexing慢日志、GC日志、ES访问日志、异步写入日志、审计日志。

主日志主要是展示集群的运行日志，包括日志产生的时间、日志所在的节点IP和日志内容，一般集群节点的重启、节点的上下线、索引的删除等都可以在主日志中查到，当集群出现异常，或者节点异常优先去主日志中查看。

Searching慢日志主要展示超过指定时间阈值的索引（Indexing慢日志）和查询（Searching慢日志）日志。在集群负载不均、读写异常、处理数据很慢等情况下，可以通过查询慢日志来分析具体原因。

GC日志主要是JVM内存的GC日志，当集群内存异常时，可以通过该日志进行分析排查。

ES访问日志展示了Elasticsearch集群所有查询相关请求的详细信息，包括集群node和IP地址、bodySize、请求内容、请求时间、发起请求的客户端IP地址、uri等信息，但是目前仅6.7.0和7.10版本的实例支持ES访问日志。

审计日志主要展示Elasticsearch实例对应的增、删、改、查等操作产生的日志。默认关闭。

注意：ES访问日志仅6.7.0及7.10版本的实例支持在控制台查看ES访问日志。审计日志：仅以下地域的7.x版本实例支持在控制台查看审计日志。另外日志的查询语法是Lucene Query语法，逻辑操作符必须要大写。