标签： Kibana

在 Azure 中使用 Elasticsearch（Elastic Cloud）的要点（下篇）
本文作为在 Azure 中使用 Elasticsearch（Elastic Cloud）的要点下篇，将介绍在 Elastic Cloud 中执行以下操作的步骤。
1. 版本升级
1. 审计日志设置
1. 版本升级

关于 Elastic Stack 的版本升级

Elastic Stack 有两种版本升级方式，各自的特点如下表所示：

序号版本升级方式特点
1 滚动升级（Rolling Upgrade）无需停止服务即可完成版本升级
2 全集群升级（Full Cluster Upgrade）需先将服务全部停止

在 Elastic Cloud 中，版本升级采用上述第 1 种 “滚动升级” 方式，因此无需停止服务即可完成版本升级。有关升级的详细信息，请参考以下链接：Upgrade versions | Elasticsearch Service Documentation | Elastic

此外，在 Elastic Cloud 中，只需在图形用户界面（GUI）上点击一下，即可完成版本升级。下面实际操作一下具体步骤。

在 Elastic Cloud 中升级 Elastic Stack

（1）根据需要将 Deployment设为维护模式

在 Elastic Cloud 中，如果对高负载的 Deployment 应用设置变更，不仅设置变更会耗费较长时间，最坏情况下还可能导致服务响应中断、设置变更失败。因此，虽然理论上无需停止服务即可完成版本升级，但当 Deployment 处于高负载状态时，也建议先将其切换为维护模式，之后再进行升级。

访问 Elastic Cloud 的 Deployment 页面，选择菜单中的 “Edit”

点击“Edit”

在页面底部的 “Extented maintenance”（扩展维护）处勾选复选框，然后点击 “Save”（保存），即可将 Deployment 设为维护模式。

在 “Extented maintenance” 处勾选复选框，点击 “Save”

（2）点击 Elastic Cloud 的 Deployment 页面右侧的 “Upgrade”

点击 “Upgrade”

（3）选择版本，点击 “Upgrade”

（=选择版本，点击 “Upgrade”

通过以上步骤，即可完成版本升级。无需复杂操作就能轻松升级版本，从而持续使用最新功能，这是 Elastic Cloud 的一大重要优势。

2. 审计日志设置

关于 Elastic Stack 的审计日志

Elasticsearch 和 Kibana 均支持输出审计日志。通过审计日志，可监控认证失败、连接拒绝等与安全相关的事件。

有关审计日志的详细信息，请参考以下文档：
- Enable audit logging | Elasticsearch Guide [8.14] | Elastic
- Audit logs | Kibana Guide [8.14] | Elastic
审计日志默认处于未启用状态，因此需按以下步骤开启。

（1）在 Elastic Cloud 的 Deployment管理页面中，点击 “Edit”

点击 “Edit”

（2）点击 Elasticsearch 右侧的链接 “Manage user settings and extensions”

点击 Elasticsearch 右侧的 “Manage user settings and extensions”

（3）为 Elasticsearch 应用审计日志设置

设置内容如下：

xpack.security.audit.enabled: true

（4）点击 Kibana 右侧的链接 “Edit user settings”

点击 “Edit user settings”

（5）为 Kibana 也应用审计日志设置

设置内容如下：

xpack.security.audit.enabled: true

（6）点击页面下方的 “Save”，应用设置

点击 “Save”

（7）在 Monitoring功能的 Logs中查看审计日志

此时会输出 Elasticsearch 和 Kibana 的审计日志。

查看审计日志

从上述审计日志中可以看到，“y_nomura” 用户在两次认证失败（红色高亮部分）后，最终认证成功（黄色高亮部分）。通过输出此类审计日志，能够确认 “谁在何时登录”“访问了哪些资源” 等关键信息。

总结

截至目前，我们已通过操作篇，讲解了使用 Elastic Cloud 的关键要点。但除此之外，针对不同使用场景，仍有许多需要考虑的事项。
2025年7月3日
在 AWS 上使用 Elasticsearch（Elastic Cloud）的要点（下篇）
本文作为在 AWS 上使用 Elasticsearch（Elastic Cloud）的要点下篇，将介绍在 Elastic Cloud 中执行以下操作的步骤。
1. 版本升级
1. 审计日志设置
本文中，将 Elastic Cloud（Elasticsearch Service）的名称统一表述为 “Elastic Cloud”。

1. 版本升级

关于 Elastic Stack 的版本升级

Elastic Stack 有两种版本升级方式，各自特点如下表所示：

序号版本升级方式特点
1 滚动升级（Rolling Upgrade）无需停止服务即可完成版本升级
2 全集群升级（Full Cluster Upgrade）需一次性停止所有服务

在 Elastic Cloud 中，采用的是序号 1 的滚动升级方式，因此无需停止服务就能完成版本升级。

关于升级的详细信息，可参考以下链接：Upgrade versions | Elasticsearch Service Documentation | Elastic

此外，在 Elastic Cloud 中，只需在图形用户界面（GUI）上点击一下，即可完成版本升级。下面实际介绍操作步骤。

在 Elastic Cloud 中升级 Elastic Stack

(1) 根据需要将Deployment设为维护模式

在 Elastic Cloud 中，若对高负载的Deployment应用设置变更，可能会导致设置变更耗时较长，最坏情况下会出现响应中断、设置变更失败的问题。因此，虽然原则上无需停止服务即可完成版本升级，但当部署处于高负载状态时，也可考虑先将其切换为维护模式，再进行升级。

访问 Elastic Cloud 的Deployment页面，选择菜单中的 “Edit”。

点击 “Edit”

在页面底部的 “Extended maintenance”处勾选复选框，再点击 “Save”按钮，即可将 Deployment设置为维护模式。

(2) 点击 Elastic Cloud 部署页面右侧的 “Upgrade”按钮

(3) 选择版本后，点击 “Upgrade”按钮

以上步骤完成后，版本升级即可执行。版本升级操作简便，能够始终使用最新功能，这是 Elastic Cloud 的一大重要优势。

2. 审计日志设置

关于 Elastic Stack 的审计日志

Elasticsearch 和 Kibana 均支持输出审计日志。通过审计日志，可监控认证失败、连接拒绝等与安全相关的事件。

关于审计日志的详细信息，可参考以下文档：
- https://www.elastic.co/guide/en/elasticsearch/reference/current/enable-audit-logging.html
- https://www.elastic.co/guide/en/kibana/current/xpack-security-audit-logging.html
审计日志默认处于未启用状态，因此需按以下步骤启用。

启用审计日志的步骤

(1) 在 Elastic Cloud 的Deployment管理页面中，点击 “Edit”

(2) 点击 Elasticsearch 右侧的链接 “Manage user settings and extensions”

(3) 为 Elasticsearch 应用审计日志设置

设置内容如下：xpack.security.audit.enabled: true

(4) 点击 Kibana 右侧的链接 “Edit user settings”

(5) 为 Kibana 也应用审计日志设置

设置内容如下：xpack.security.audit.enabled: true

(6) 点击页面底部的 “Save”（保存）按钮，应用设置

(7) 在Monitoring功能的日志Logs中查看审计日志

此时可看到 Elasticsearch 和 Kibana 的审计日志已输出。

从上述审计日志中可以看出，“y_nomura” 用户在两次认证失败（红色高亮部分）后，成功完成了认证（黄色高亮部分）。通过输出审计日志，能够确认 “谁在何时登录”“访问了哪里” 等信息。

总结

截至目前，使用 Elastic Cloud 的要点讲解完毕，但除此之外，针对不同使用场景还有许多需要考虑的事项。如果有疑问，欢迎评论。
2025年2月13日

序号	版本升级方式	特点
1	滚动升级（Rolling Upgrade）	无需停止服务即可完成版本升级
2	全集群升级（Full Cluster Upgrade）	需先将服务全部停止

序号	版本升级方式	特点
1	滚动升级（Rolling Upgrade）	无需停止服务即可完成版本升级
2	全集群升级（Full Cluster Upgrade）	需一次性停止所有服务

在 AWS 上使用 Elasticsearch（Elastic Cloud）的要点（上篇）

本文将介绍在 AWS 上使用 Elasticsearch（Elastic Cloud）的要点。在本文中，将统一把 Elastic Cloud（Elasticsearch Service）简称为 “Elastic Cloud”。

1. 监控（Monitoring）设置（Metric／Logs）

关于Monitoring功能

通过使用Monitoring功能，可一目了然地掌握集群状态；即便发生故障，也能从资源和日志两方面快速排查问题。

在 Elastic Cloud 中启用Monitoring功能

Monitoring功能默认处于未启用状态，需按以下步骤启用：

(1) 访问 Elastic Cloud 的Deployment页面，点击菜单中的 “Logs and metrics”。

(2) 点击 “Ship to a deployment”下方的 “Enable”。

(3) 选择已搭建的部署，点击 “Save”，Monitoring功能即启用。

查看指标（Metric）

通过指标可查看 Elastic Stack 各组件的服务器资源使用情况：

(1) 在 Kibana 页面左侧菜单中，点击 “Stack Monitoring”

(2) 点击 Elasticsearch 的 “Overview”。在概览页面中，可实时查看 Elasticsearch 整体的搜索性能与索引性能。

(3) 在 Elasticsearch 的 “Nodes”中，选择并点击一个实例。

此时可实时查看每台服务器的资源状态。

查看日志（Logs）

通过日志可实时查看、筛选日志并进行问题排查：

(1) 在 Kibana 页面左侧菜单中，点击 “Logs”。

在Stream页面中，会实时显示导入 Elasticsearch 的各类日志。

(2) 在页面上方的搜索框中输入 “error”，执行日志筛选。

可以一边筛选日志，一边开展问题排查。

修改指标的保留期限

指标的默认保留期限为 3 天。由于不同需求下的保留期限可能不同，建议根据实际情况修改设置：

(1) 在 Kibana 页面左侧菜单中，点击 “Stack Management”

(2) 点击 “Index Lifecycle Policies”。

(3) 在搜索框中输入 “.monitoring”，点击显示结果中的 “.monitoring-8-ilm-policy”。

Elasticsearch 会将索引按 “阶段（Phase）” 进行管理，各阶段的过渡条件通过 ILM（索引生命周期管理，Index Lifecycle Management）定义。

详情可参考以下链接：ILM: Manage the index lifecycle | Elasticsearch Guide [8.14] | Elastic

修改前的设置如下表所示：

阶段（Phase）	设定值
Hot 阶段	索引创建后满 3 天，或主分片（Primary Shard）大小达到 50GB 以上时，对索引执行 Rollover
Warm 阶段	执行强制合并（Forcemerge），将分片的段（Segment）数量合并为 1
Delete 阶段	索引执行 Rollover 后满 3 天，将其删除

简单来说，Hot 阶段中定义的 “Rollover” 是指当满足特定条件时，自动创建新索引的功能。

详情可参考以下链接：Rollover | Elasticsearch Guide [8.14] | Elastic

(4) 将 Delete 阶段的保留时间从 “3 天” 修改为 “31 天”，点击 “Save Policy”。