ELK7真功夫: Elasticsearch分析与检索功能实操

最新推荐文章于 2022-11-15 10:54:46 发布
置顶 最新推荐文章于 2022-11-15 10:54:46 发布
阅读量715 收藏 2
点赞数
分类专栏: 数据库 elastic 文章标签: 数据库 elastic search
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PythonDeepLearning/article/details/103046852
版权
本文详细介绍了Elasticsearch的_search接口,用于基于URI和请求体的文档检索,包括查询字符串、分页、排序和字段投影。重点讲解了查询字符串、from/size参数、scroll参数、search_after参数和sort参数的使用,以及_source、stored_fields和docvalue_fields等字段定制。内容深入浅出,旨在帮助读者掌握Elasticsearch的检索功能。
摘要由CSDN通过智能技术生成

虽然通过文档_id可以获取到文档,但_id字段一般都是一个无意义的值,在实际应用中更多地是使用文档其它有意义字段做检索。Elasticsearch提供一个专门用于检索的_search接口,这个接口可以根据指定的查询条件检索文档,Elasticsearch强大的检索能力都体现在对这个接口的应用上。除了本文介绍的文档检索基于_search接口,《Elastic Stack应用宝典》这本书中第6章介绍的聚集查询也是基于这个接口,只是使用的参数及格式不同而已。
Elasticsearch可用于文档检索的接口除了_search以外,还包括_count、_msearch、_scripts等。此外,还有一组辅助文档检索的接口可供使用。它们可以查看检索执行情况,为性能调优提供依据,包括_validate、_explain、_field_caps、_search_shards等。
由于_search接口比较重要,本文会以先介绍这个接口的使用方法,然后再介绍接口在检索文档时可用的一些重要参数,其余接口将统一放在最后介绍。本文所有示例都将使用Kibana样例数据,请读者在学习之前确保这些数据已经导入。

_search接口

_search接口可以使用GET或POST方法请求,在请求路径中可以指定一个或多个索引,还可以使用_all或者星号“*”匹配所有索引。如果不指定索引名称,实际上也是匹配所有索引。Elasticsearch为使用这个接口定义了一种查询语言DSL(Domain Specific Language)。DSL是一套基于JSON的查询语言,这种只在某一领域使用的语言通常称为领域特定语言,而它们英文单词首字母简写就是DSL。《Elastic Stack应用宝典》这本书的后续章节都将简称这种语言为DSL,由于DSL内容非常庞杂,将在书中第5章单独介绍。
_search接口有两种请求方式,一种是基于URI的请求方式,另一种则是基于请求体的请求方式。无论是哪一种,它们执行的语法根基都是DSL,只是在使用形式上不同而已。

基于URI

_search接口基于URI的请求方式比较简单,DSL查询条件以请求参数q传递给接口。使用_search接口的最简形式就是不挂任何参数直接调用,可以在路径中添加索引名称,也可以不添加。所以示例1中的请求都是正确的:

GET _search
POST _search
GET kibana_sample_data_logs/_search?q=message:chrome firefox

示例1 基于URI的_search接口调用

在最后一个请求中,参数q定义的内容叫查询字符串(Query String),它的含义是检索message字段值中包含chrome或firefox的文档。查询字符串不仅可以在基于URI的检索中使用,也可以在基于请求体的检索中使用,是DSL定义的一种检索方法。查询字符串属于全文检索,这意味着查询字符串在检索前会被分析器解析为一系列词项和运算符。以示例1中的请求为例,“chrome firefox”会被解析为chrome和firefox两个词项,然后再与message字段的词项索引做匹配。只要message字段中包含chrome或firefox,这个文档就满足查询条件。

查询字符串

查询字符串的基本格式为“<字段名>:<查询值>”,其中字段名可以指定,也可以不指定。如果没有指定字段名,要匹配的字段由index.query.default_field参数设置。这个参数的默认值为*.*,即在所有字段中查询。此外,还可以使用参数df(Default Field)指定要查询的字段名,它与参数q一样是可以用在URI中的参数。如果指定了字段名,查询将在指定字段中匹配词项。除了直接指定字段名以外,还可使用通配符等形式匹配字段,例如:

GET kibana_sample_data_logs/_search?q=geo.\*:CN US
GET kibana_sample_data_logs/_search?q=_exists_:geo

示例2 特殊格式的字段名

在示例2中,查询字符串“geo.*:CN US”将在geo的子字段中匹配CN或US。第二个查询字符串中的_exists_不是一个具体的字段名,而是代表所有非空的title字段。

下面再来看看查询字符串中的查询值。查询值会在检索前通过分析器拆分为词项,在检索时只要字段中包含任意一个词项就视为满足条件。在实现上,这其实是使用了DSL语言中定义的match查询。如果使用双引号将它们括起来,_search接口将使用DSL的match_phrase做短语匹配。从效果上看就类似于用整个短语做检索,而不是使用单个词项做检索。查询值中除了包含词项本身以外,还可以包含操作符OR和AND,注意它们必须大写否则将被识别为词项。例如,“(tom smith) AND jhon”代表的含义是同时包含tom、jhon或smith、jhon的字段。除了可以包含词项、操作符以外,查询字符串的查询值中还可以包含通配符、正则表达式等。表1给出了一些可能的用法:

请求参数

基于URI调用_search接口时可以使用的参数,除了前述的q和df以外还有很多。例如,_source参数可以用来设置在返回结果中是否包含_source字段,还可以使用_source_include或_source_exclude参数包含或排除源文档的字段。这样的参数还有很多,它们大多数与基于请求体的参数具有相同的名称和含义。不仅如此,部分参数对于其它接口也可使用,所以对于参数的介绍将在本文下一阶段统一讲解。表2先将这些参数总结出来供参考&#

最低0.47元/天 解锁文章
PythonDeepLearning
关注
专栏目录
ElasticStack(ELK)从入门到实践.pdf
06-11
elkstack的基础入门详解
69道Elasticsearch高频题整理(附答案背诵版)
最新发布
Angela_L的博客
05-15 467
Elasticsearch是一个基于Lucene的搜索服务器,它提供了一个分布式、多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java语言开发的,并作为Apache许可条款下的开放源码发布,是一种流行的企业级搜索引擎。它用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。官方客户端在Java、.NET(C#)、PHP、Python、Apache Groovy、Ruby和许多其他语言中都是可用的。
Elastic Stack
zphyy1988的博客
04-06 198
官网 Elasticsearch Kibana Beats Logstash (optional)
Elasticsearch宝典:从ELK到Elastic Stack
weixin_44601635的博客
11-18 1085
Elasticsearch宝典:从ELK到Elastic Stack 文/田雪松 Elastic Stack早期的名字叫ELK,是由三个开源软件组成的数据处理框架。后期由于有新的成员加入到ELK中,ELK更名为Elastic Stack以反映其组成成员的变化情况。Elastic Stack家族成员可以放在一起使用,但每一个成员又可以单独使用,它们要解决的核心问题都是数据。在当前的互联网时代,数据...
Elastic Stack(ELK)宝典之:Logstash输入与输出
weixin_44601635的博客
11-18 1428
文/田雪松 Logstash管道可以配置多个输入插件,这可以将不同源头的数据整合起来做统一处理。在分布式系统中,数据都分散在不同的容器或不同的物理机上,每一份数据往往又不完整,需要类似Logstash这样的工具将数据收集起来。比如在微服务环境下,日志文件就分散在不同机器上,即使是单个请求的日志也有可能分散在多台机器上。如果不将日志收集起来,就无法查看一个业务处理的完整日志。 Logstash管道...
docker-elk-elasticsearch:Elasticsearch Docker映像
05-25
4. **与 Logstash 和 Kibana 集成**:为了完整构建 ELK 堆栈,你需要另外准备 Logstash 和 Kibana 的 Docker 映像,并将它们配置为与 Elasticsearch 容器通信。Logstash 通过网络或数据卷接收日志数据,然后将其转发...
elk-docker:Elasticsearch,Logstash,Kibana(ELK)Docker映像
04-30
Elasticsearch,Logstash,Kibana(ELK)Docker映像 通过打包Elasticsearch,Logstash和Kibana(统称为ELK),此Docker映像提供了一个方便的集中式日志服务器和日志管理Web界面。 文献资料 有关如何使用此映像的...
ELK镜像:elasticsearch:7.17.6+kibana:7.17.6+logstash:7.17.6 下载
05-15
ELK:elasticsearch:7.17.6+kibana:7.17.6+logstash:7.17.6 支持操作系统:centos7 中标麒麟、银河麒麟、通信UOS 均已经验证 安装方式,docker安装
go-elk-stack:Elasticsearch-Logstash-Kibana-Golang
05-18
:french_fries: 这个简单的项目演示了Elasticsearch-Logstash-Kibina(ELK)与Golang的集成 去栈 没有Web框架,使用本机运行 DEP的包管理brew install dep 杜松子酒进行实时重新加载, go get github....
k8s-elk:Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰
05-18
Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰该存储库当前包含ElasticSearch和Kibana配置。 ElasticSearch以3种形式运行。 第一个是“主”类型,这是ElasticSearch文档中的主类型。 第二种类型是...
ELK ② 索引, 创建, 查看, 删除, 分词器安装及使用, 映射, 创建, 查看, 修改,文档,增删改查及局部更新
chengh1993的博客
10-26 2022
3 管理索引 第1节 索引操作(创建、查看、删除) 1. 创建索引库 Elasticsearch采用Rest风格API,因此其API就是一次http请求,你可以用任何工具发起http请求 语法 PUT /索引名称 { "settings": { "属性名": "属性值" } } settings:就是索引库设置,其中可以定义索引库的各种属性 比如分片数 副本数等,目前我们可以不设置,都走默 认 示例 PUT /lagou-company-index 可以看到索引创建成功了。..
阿里内部共享--彩印图文版《Elasticsearch实战》文档,堪称精品!
mf97532的博客
06-28 421
众所周知,ELK是包含但不限于Elasticsearch(简称es)、 Logstash、Kbana三个开源软件的组成的一个整体。这三个软件合成ELK,是用于数据抽取(Logstash)、搜索分析(Elasticsearch)、数据展现(Kibana)的一整套解决方案,所以也称作ELK stack。 Elasticsearch是ELK的核心,偶然从朋友那里获得阿里内部的彩印图文版文档,从es底层对文档、索引、搜索、聚合、集群进行介绍,从搜索和聚合分析实例来展现es的魅力,而Logstash从内部如何采集数
【ES实战】Search的滚动查询(Scroll)
coding and writing
11-26 9876
滚动查询(Scroll) 虽然搜索请求返回结果是单个“页面”,但scroll API 可用于从单个搜索请求中检索大量结果(甚至所有结果),其方式与在传统数据库使用相似。 scrolling不是用于实时用户请求,而是用于处理大量数据,例如:为了将一个索引的内容重新索引到具有不同配置的新索引中。 为了使用滚动,初始搜索请求应该在查询字符串中指定scroll参数,它告诉 Elasticsearch 它应该保持“搜索上下文”多长时间(请参阅保持搜索上下文活着),例如?scroll=1m。 POST /twitter
Elasticsearch - Scroll
diaobu4547的博客
01-26 389
Scroll Version:6.1 英文原文地址:Scroll 当一个搜索请求返回单页结果时,可以使用 scroll API 检索体积大量(甚至全部)结果,这和在传统数据库中使用游标的方式非常相似。 不要把 scroll 用于实时请求,它主要用于大数据量的场景。例如:将一个索引的内容索引到另一个不同配置的新索引中。 Client support for scrolling and...
elasticsearch的Doc Values 和 Fielddata
热门推荐
thomas0yang的专栏
03-30 1万+
DocValues 什么是DocValues 简单说明DocValues就是一个种列式的数据存储结构(docid、termvalues)。 倒排索引的优势在于查找包含某个项的文档,即通过Term查找对应的docid。 term的倒排 Term Doc_1 Doc_2 Doc_3 brown X X dog X
Elasticsearch学习-关于倒排索引、DocValues、FieldData和全局序号
迷路剑客个人博客
09-12 6345
Elasticsearch为什么这么快 0x01 摘要 我们都知道Elasticsearch是高效的搜索神器,为什么他会这么快呢?本文浅谈ES几点基本的设计理念,相信会对ES为什么这么快有进一步的认识。仅供参考。 注意,本文档适用于ES 2.x 0x02 倒排索引 2.1 原理 ES数据存储底层使用了Lucene,其中最重要的一个设计就是倒排索引。一个倒排索引由doc中...
ElasticSearch中doc values和fielddata
happy19870612's blog
11-15 1万+
一 为什么聚合排序不适合使用倒排序索引 假设现在有以下的一个搜索: POST /ecommerce/music/_search {    "size":0,    "query":{        "match":{            "desc":"吉他"         }     },    "aggs":{        "brands":{
Elasticsearch分析检索(四)
抽象的螺旋
05-02 1027
概述 虽然通过文档_id可以获取到文档,但是_id字段一般都是一个无意义的值,在实际应用中更多是使用文档其他有意义字段做检索Elasticsearch提供了一个专门用于检索的_search接口,这个接口可以根据指定的查询条件检索文档,Elasticsearch强大的检索能力都体现在这个接口的应用上。除了本章介绍的文档检索基于_search接口,之后介绍的聚集查询也是基于这个接口,只是使用的参数及格式不同而已。 Elasticsearch可以用于文档检索的接口除了_search以外,还包括_count、_m
ElasticSearch常用功能总结
weixin_46648718的博客
11-15 1318
ElasticSearch常用功能总结
ELK技术栈解析:Elasticsearch与日志分析
"这篇文档汇总了关于Elasticsearch (ES) 的常见问题,特别是与ELK技术栈(Elasticsearch, Logstash, Kibana)相关的知识点,包括ES的主要作用、基本术语以及倒排索引的工作原理。" Elasticsearch(ES)是一个高度可...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值