日志數(shù)據(jù)的處理與分析是最典型的大數(shù)據(jù)分析場(chǎng)景之一，過(guò)去業(yè)內(nèi)以 Elasticsearch 和 Grafana Loki 為代表的兩類(lèi)架構(gòu)難以同時(shí)兼顧高吞吐實(shí)時(shí)寫(xiě)入、低成本海量存儲(chǔ)、實(shí)時(shí)文本檢索的需求。Apache Doris 借鑒了信息檢索的核心技術(shù)，在存儲(chǔ)引擎上實(shí)現(xiàn)了面向 AP 場(chǎng)景優(yōu)化的高性能倒排索引，對(duì)于字符串類(lèi)型的全文檢索和普通數(shù)值、日期等類(lèi)型的等值、范圍檢索具有更高效的支持，相較于 Elasticsearch 實(shí)現(xiàn)性?xún)r(jià)比 10 余倍的提升，以此為日志存儲(chǔ)與分析場(chǎng)景提供了更優(yōu)的選擇。

日志數(shù)據(jù)在企業(yè)大數(shù)據(jù)中非常普遍，其體量往往在企業(yè)大數(shù)據(jù)體系中占據(jù)非常高的比重，包括服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、IoT 物聯(lián)網(wǎng)設(shè)備產(chǎn)生的系統(tǒng)運(yùn)維日志，與此同時(shí)還包含了用戶行為埋點(diǎn)等業(yè)務(wù)日志。

• 數(shù)據(jù)增長(zhǎng)快：每一次用戶操作、系統(tǒng)事件都會(huì)觸發(fā)新的日志產(chǎn)生，很多企業(yè)每天新增日志達(dá)到幾十甚至幾百億條，對(duì)日志平臺(tái)的寫(xiě)入吞吐要求很高；
• 數(shù)據(jù)總量大：由于自身業(yè)務(wù)和監(jiān)管等需要，日志數(shù)據(jù)經(jīng)常要存儲(chǔ)較長(zhǎng)的周期，因此累積的數(shù)據(jù)量經(jīng)常達(dá)到幾百 TB 甚至 PB 級(jí)，而較老的歷史數(shù)據(jù)訪問(wèn)頻率又比較低，面臨沉重的存儲(chǔ)成本壓力；
• 時(shí)效性要求高：在故障排查等場(chǎng)景需要能快速查詢(xún)到最新的日志，分鐘級(jí)的數(shù)據(jù)延遲往往無(wú)法滿足業(yè)務(wù)極高的時(shí)效性要求，因此需要實(shí)現(xiàn)日志數(shù)據(jù)的實(shí)時(shí)寫(xiě)入與實(shí)時(shí)查詢(xún)。

• 高吞吐實(shí)時(shí)寫(xiě)入：即需要保證日志流量的大規(guī)模寫(xiě)入，又要支持低延遲可見(jiàn)；
• 低成本大規(guī)模存儲(chǔ)：系統(tǒng)自身可以存儲(chǔ)海量數(shù)據(jù)，且通過(guò)數(shù)據(jù)壓縮、冷熱分離等多種機(jī)制降低存儲(chǔ)成本；
• 高性能交互式分析且支持文本檢索：日志檢索的隨機(jī)性很強(qiáng)、很難提前預(yù)測(cè)模式，因此要求支持靈活的文本檢索，通過(guò)實(shí)時(shí)交互式查詢(xún)滿足分析需求。

• 以 ES 為代表的倒排索引檢索架構(gòu)，支持全文檢索、查詢(xún)性能好，因此在日志場(chǎng)景中被業(yè)內(nèi)大規(guī)模應(yīng)用，但其仍存在一些不足，包括實(shí)時(shí)寫(xiě)入吞吐低、消耗大量資源構(gòu)建索引，且需要消耗巨大存儲(chǔ)成本；
• 以 Loki 為代表的輕量索引或無(wú)索引架構(gòu)，實(shí)時(shí)寫(xiě)入吞吐高、存儲(chǔ)成本較低，但是檢索性能慢、關(guān)鍵時(shí)候查詢(xún)響應(yīng)跟不上，性能成為制約業(yè)務(wù)分析的最大掣肘。

• ES 基于 Apache Lucene 構(gòu)建倒排索引，Apache Lucene 自 2000 年開(kāi)源至今已有超過(guò) 20 年的歷史，設(shè)計(jì)之初主要面向信息檢索領(lǐng)域、功能豐富且復(fù)雜，而日志和大多數(shù) OLAP 場(chǎng)景只需要其核心功能，包括分詞、倒排表等，而相關(guān)度排序等并非強(qiáng)需求，因此存在進(jìn)一步功能簡(jiǎn)化和性能提升的空間；
• ES 和 Apache Lucene 均采用 Java 實(shí)現(xiàn)，而 Apache Doris 存儲(chǔ)引擎和執(zhí)行引擎采用 C++ 開(kāi)發(fā)并且實(shí)現(xiàn)了全面向量化，相對(duì)于 Java 實(shí)現(xiàn)具有更好的性能；
• 倒排索引并不能決定性能表現(xiàn)的全部，作為一個(gè)高性能、實(shí)時(shí)的 OLAP 數(shù)據(jù)庫(kù)，Apache Doris 的列式存儲(chǔ)引擎、MPP 分布式查詢(xún)框架、向量化執(zhí)行引擎以及智能 CBO 查詢(xún)優(yōu)化器，相較于 ES 更為高效。

• 數(shù)據(jù)寫(xiě)入兩個(gè)系統(tǒng)，異常有數(shù)據(jù)不一致的問(wèn)題，也存在一定冗余存儲(chǔ)；
• 查詢(xún)需在兩個(gè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)交互有額外開(kāi)銷(xiāo)，數(shù)據(jù)量大時(shí)用 ID 集合去原系統(tǒng)查性能比較低；
• 維護(hù)兩套系統(tǒng)的復(fù)雜度高，將系統(tǒng)的復(fù)雜性從開(kāi)發(fā)測(cè)轉(zhuǎn)移到運(yùn)維測(cè)；

數(shù)據(jù)庫(kù)內(nèi)置倒排索引

1. 跳數(shù)索引：包括 ZoneMap 索引和 Bloom Filter 索引。

• ZoneMap 索引對(duì)每一個(gè)數(shù)據(jù)塊和文件保存 Min/Max/isnull 等匯總信息，可以用于等值、范圍查詢(xún)的粗粒度過(guò)濾，只能排除不滿足查詢(xún)條件的數(shù)據(jù)塊和文件，不能定位到行，也不支持文本分詞。
• BloomFilter 索引也是數(shù)據(jù)塊和文件級(jí)別的索引，通過(guò) Bloom Filter 判斷某個(gè)值是否在數(shù)據(jù)塊和文件中，同樣不能定位到行、不支持文本分詞；

• ShortKey 在排序的基礎(chǔ)上，根據(jù)給定的前綴列實(shí)現(xiàn)快速查詢(xún)數(shù)據(jù)的索引方式，能夠?qū)η熬Y索引的列進(jìn)行等值、范圍查詢(xún)，但不支持文本分詞，另外由于數(shù)據(jù)要按前綴索引排序、因此一個(gè)表只允許一組前綴索引。
• Bitmap 索引記錄數(shù)據(jù)值 -> 行號(hào) Bitmap 的有序映射，是一種很基礎(chǔ)的倒排索引，但是索引結(jié)構(gòu)比較簡(jiǎn)單、查詢(xún)效率不高、不支持文本分詞。

• 數(shù)據(jù)寫(xiě)入和 Compaction 階段：在寫(xiě) Segment 文件的同時(shí)，同步寫(xiě)入一個(gè) Inverted Index 文件，文件路徑由 Segment ID + Index ID 決定。寫(xiě)入 Segment 的 Row 和 Index 中的 Doc 一一對(duì)應(yīng)，由于同步順序?qū)懭耄琒egment 中的 Rowid 和 Index 中的 Docid 完全對(duì)應(yīng)。
• 查詢(xún)階段：如果查詢(xún) Where 條件中有建了倒排索引的列，會(huì)自動(dòng)去 Index 文件中查詢(xún)，返回滿足條件的 Docid List，將 Docid List 一一對(duì)應(yīng)的轉(zhuǎn)成 Rowid Bitmap，然后走 Doris 通用的 Rowid 過(guò)濾機(jī)制只讀取滿足條件的行，達(dá)到查詢(xún)加速的效果。

Doris倒排索引架構(gòu)圖

這個(gè)設(shè)計(jì)的好處是已有的數(shù)據(jù)文件無(wú)需修改，可以做到兼容升級(jí)，而且增減索引不影響數(shù)據(jù)文件和其他索引，用戶增建索引沒(méi)有負(fù)擔(dān)。

通用倒排索引優(yōu)化

• 高效范圍查詢(xún)：BKD 索引采用多維數(shù)據(jù)結(jié)構(gòu)，為范圍查詢(xún)帶來(lái)高效率。它能迅速定位數(shù)值或日期類(lèi)型列中所需的數(shù)據(jù)范圍，降低查詢(xún)時(shí)間復(fù)雜度。
• 存儲(chǔ)空間優(yōu)化：與其他索引方法相比，BKD 索引在存儲(chǔ)空間使用上更高效。通過(guò)聚合并壓縮相鄰數(shù)據(jù)塊，減少索引所需存儲(chǔ)空間，降低存儲(chǔ)成本。
• 多維數(shù)據(jù)支持：BKD 索引具備良好擴(kuò)展性，支持多維數(shù)據(jù)類(lèi)型，如地理坐標(biāo)（GEO point）和范圍（Range），使其在處理復(fù)雜數(shù)據(jù)類(lèi)型時(shí)具有高適應(yīng)性。

• 優(yōu)化低基數(shù)場(chǎng)景：針對(duì)數(shù)值分布集中、單個(gè)數(shù)值倒排列表較多的低基數(shù)場(chǎng)景，我們調(diào)整了針對(duì)性的壓縮算法，降低大量倒排表解壓縮和反序列化所帶來(lái)的CPU性能消耗。
• 預(yù)查詢(xún)技術(shù)：針對(duì)查詢(xún)結(jié)果命中數(shù)較高的場(chǎng)景，我們采用預(yù)查詢(xún)技術(shù)進(jìn)行命中數(shù)預(yù)估。若命中數(shù)顯著超過(guò)閾值，可跳過(guò)索引查詢(xún)，直接利用Doris在大數(shù)據(jù)量查詢(xún)下的技術(shù)優(yōu)勢(shì)進(jìn)行數(shù)據(jù)過(guò)濾。

面向 OLAP 的倒排索引優(yōu)化

• 在寫(xiě)入流程保證不會(huì)多個(gè)線程寫(xiě)入一個(gè)索引，從而避免寫(xiě)入時(shí)多線程鎖競(jìng)爭(zhēng)的開(kāi)銷(xiāo)；
• 在存儲(chǔ)結(jié)構(gòu)上去掉了不必要的正排、norm 等文件，減少寫(xiě)入 IO 開(kāi)銷(xiāo)和存儲(chǔ)空間占用；
• 查詢(xún)過(guò)程中簡(jiǎn)化相關(guān)性打分和排序邏輯，降低不必要的開(kāi)銷(xiāo)，提升查詢(xún)性能。

• 指定分區(qū)構(gòu)建倒排索引，比如新增一個(gè)索引的時(shí)候指定最近7天的日志構(gòu)建索引，歷史數(shù)據(jù)不建索引
• 指定分區(qū)刪除倒排索引，比如刪除超過(guò)1個(gè)月的日志的索引，釋放訪問(wèn)頻度低的索引存儲(chǔ)空間

vs Elasticsearch

• 測(cè)試數(shù)據(jù)：esrally HTTP Logs track 中自帶測(cè)試數(shù)據(jù)集，1998 年 World Cup HTTP Server Logs，未壓縮前 32G、共 2.47 億行、單行平均長(zhǎng)度 134 字節(jié)；
• 測(cè)試查詢(xún)：esrally HTTP Logs 測(cè)試關(guān)鍵詞檢索、范圍查詢(xún)、聚合、排序等 11 個(gè) Query，所有查詢(xún)跑 100 次串行執(zhí)行；
• 測(cè)試環(huán)境：3 臺(tái) 16C 64G 云主機(jī)組成的集群。

vs Clickhouse

• 測(cè)試數(shù)據(jù)：Hacker News 2873 萬(wàn)條數(shù)據(jù)，6.7G，Parquet 格式；
• 測(cè)試查詢(xún)：3 個(gè)查詢(xún)，分別查詢(xún) 'clickhouse'、'olap' OR 'oltp'、'avx' AND 'sve' 等關(guān)鍵字出現(xiàn)的次數(shù)；
• 測(cè)試機(jī)器：1 臺(tái) 16C 64G 云主機(jī)

• INDEX idx_comment (`comment`)指定對(duì) comment 列建一個(gè)名為idx_comment的索引
• USING INVERTED指定索引類(lèi)型為倒排索引
• PROPERTIES("parser" = "english")指定分詞類(lèi)型為英文分詞