关键要点与工程坑点

• 先把日志“写对”，再谈检索：结构化 JSON 日志不是洁癖，是成本控制。没有统一字段（order_id/user_id/status/error_code 等），下游只能靠 Grok 正则硬啃，CPU 吃满还不稳定。
• Kafka 在这条链路里不是“可选项”，而是保险丝：它提供解耦、削峰填谷、持久化与重放能力。ES/Logstash 维护或抖动时，日志仍可进入 Kafka，避免“排障时最需要日志但日志丢了”。
• Mapping 里最常见的致命误判：把 ID 当 text 分词：订单号/用户ID/状态码/标签等需要精确匹配、聚合、排序的字段，应使用 keyword；只有需要模糊全文检索的字段（如 reason/stacktrace）才用 text。否则你会遇到“查不到某笔订单”的诡异问题。
• 索引按天滚动（transactions-YYYY.MM.dd）：好处是生命周期管理简单、查询更容易缩小范围；同时也能避免单索引过大导致的段合并压力与故障恢复时间过长。
• 写入调优的本质是减少昂贵的刷新与刷盘：Bulk 写入是标配；在可接受的实时性下，把 refresh_interval 从 1s 放宽到 30s/60s，通常能显著提升吞吐。translog 的 durability 策略也要结合“可丢多少秒日志”做取舍。
• 查询调优的本质是避免无意义的打分与扩大范围：日志检索多为“是/否匹配”，优先用 filter context（可缓存、不算 _score）；同时尽可能用时间范围把查询限制在少量索引中。
• ILM（Hot/Warm/Cold）是成本与性能的平衡器：最近 1-3 天高频查询放 SSD 热节点，历史数据逐级下沉；否则你会在“全量 SSD”与“全量慢盘”之间被成本/性能拉扯。
• 集群高可用别只盯副本数：要避免脑裂（至少 3 个 master-eligible 节点）并做分片分配感知（跨 AZ/机架放置副本），否则一次网络分区就可能把你送进数据一致性事故。