Elasticsearch:ESQL 简介 — 一种用于灵活、迭代分析的新查询语言

已于 2023-11-14 09:26:25 修改
阅读量1.8k 收藏 2
点赞数
分类专栏: Elasticsearch Elastic 文章标签: elasticsearch 大数据 搜索引擎 全文检索 big data
于 2023-04-04 10:30:05 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/UbuntuTouch/article/details/129945667
版权
Elastic 同时被 2 个专栏收录
1393 篇文章 867 订阅
订阅专栏
Elasticsearch
929 篇文章 577 订阅
订阅专栏

作者:Seth Payne

特别声明:截止撰写该博文,在目前的公开发行版中,该功能还不能公开测试。这个功能将在未来的发行版中发布。

长期以来,Elastic Platform 一直被视为搜索用例和机器生成数据的分析系统。 分析专注于处理摄入的数据,其中重要的思想是如何在 Elasticsearch 中索引数据时优化结构数据。 Kibana 公开 Elasticsearch 聚合并使用它们来创建交互式仪表板、可视化和警报。

但随着 Elastic Platform 被更广泛地用作搜索、安全、可观察性和通用分析平台,分析师用户需要能够将数据作为摄入的数据,对其进行转换以适应摄入后的调查需求,并从底层 Elasticsearch 索引数据中获得洞察力 。 他们需要一个简洁、集成和高效的工作流,由丰富且富有表现力的查询支持,其中搜索、过滤、聚合和转换通过单个查询表达式执行,几乎没有 UI 上下文切换。

为了解决这些挑战,Elastic 团队目前正在开发 Elasticsearch 查询语言 (ESQL)。 ESQL 为 Elastic 用户提供了一种灵活、强大且健壮的查询表达式语言来查询数据。 ESQL 还提供具有后摄取处理功能的卓越查询 UX,从根本上转变和扩展 Elasticsearch 的分析和数据处理功能。

使用新的 Elasticsearch 查询语言 ESQL 实现 joins、管道等

新的查询和聚合计算架构

ESQL 不仅仅是一种语言。 它代表了对 Elasticsearch 中新计算功能的重大投资。 要同时满足 ESQL 的功能和性能要求,有必要构建一个全新的计算体系结构。 ESQL 搜索、聚合和转换功能直接在 Elasticsearch 本身内执行。 查询表达式不会转换为 QueryDSL 来执行。 相反,我们在 Elasticsearch 中构建了对 ESQL 函数的本地支持。

ESQL 为不同角色和不同技能水平的用户引入了分布式计算功能。 这些计算能力使 ESQL 能够以多种关键方式简化用户工作流程。

使用 ESQL,你可以:

  • 利用卓越的查询 UX:ESQL 查询表达式支持复杂的分析和数据处理。 它们易于学习、阅读和分享。
  • Elasticsearch 的过滤聚合和转换功能与子查询和查找结合使用,新的 Elasticsearch 计算和数据处理功能使之成为可能。
  • DiscoverKibana LensElastic Solutions 中跨 Kibana 使用 ESQL,为你提供无缝的工作流程。 你将能够可视化 ESQL 查询,在仪表板上与团队共享它们或作为查询,并使用查询来创建自定义警报。

如何使用 ESQL

ESQL 是一种管道查询语言,其中用户通过一系列由管道分隔的命令来处理 Elasticsearch 数据。 一个命令的输出成为下一个命令的输入,以定义逻辑数据管道。 ESQL 表达式是线性的、逻辑的并且易于阅读。 它们非常简单,可以由所有经验水平的分析师编写、使用和修改。 一个简单的例子:

search index_name
| eval field_c = (field_a + field_b)
| sort field_c desc

上面的表达式从索引中检索所有数据,为每条记录创建一个新的 fieldC,它是 fieldA 和 fieldB 的总和。 最后,结果在 fieldC 上排序。

在安全搜索中使用 ESQL

ESQL 对安全分析师进行临时威胁搜寻特别有用。 分析师可能首先查询日志数据以显示由 powershell.exe 生成的独特进程,并按命令行参数的字符串长度排序。

from winlog
  | where host.os.family == ‘windows’
  | where process.name == "powershell.exe"
  | unique process.command_line
  | sort len(process.command_lin) desc
  | limit 3
host.os.familyprocess.nameprocess.command_line
windowspowershell.exe(get-acl \\smb_file\share).access | ft IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags -auto
windowspowershell.exeGet-ADComputer -property * -filter { ipv4address -eq ‘172.16.0.3’}
windowspowershell.exeGet-ADGroupMember -identity Helpdesk

结果表明,PowerShell 被用于检索文件系统信息以及有关 Active Directory 的信息。 这可能是正常的系统行为,但也可能表示恶意活动。

为了进一步调查,修改查询以过滤 Active Directory 和文件系统相关的命令行参数。 然后它计算 process.command_line 的唯一值并按 hostname 分组。

from winlog
  | where host.os.family == ‘windows’
  | where process.name == "powershell.exe"
  | where process.command_line in (‘*get-acl*’, ‘*Get-AD*’)
  | stats count(unique process.command_line) as cl_count by hostname
  | sort cl_count desc
  | limit 3
cl_counthostname
155host2
74host1
67host3

结果表明,与其他主机相比,host2 调用文件和 AD 相关命令行参数的 powershell 进程要多得多。 分析师可以继续修改和扩展 ESQL 查询表达式以确定 host2 是否存在恶意活动。 这项调查最终会导致对威胁向量的理解,以便可以采取补救措施以及将来如何预防这种威胁。

使用 ESQL 进行搜索

你知道,Elasticsearch 一直并将永远用于搜索。 因此,ESQL 支持搜索、相关性和排名功能,这些功能长期以来一直是 Elasticsearch 的一部分。 ESQL 使访问这些搜索功能的全部功能变得极其简单。

考虑一个简单的术语聚合,我们想要生成包含流派(genre)字段中前三个术语的桶,按文档计数排序。

from music
| stats terms((genre), 3, doc_count, unwind)
| sort doc_count desc
doc_countterm
6electronic
3rock
2jazz

还支持日期直方图等分桶聚合。 在此查询中,我们根据价格字段使用 50 的间隔从销售指数创建直方图。

from sales
| stats histogram(price, 50)
| sort bucket desc
doc_countbucket
3200
2150
0100
150
10

ESQL 还使以类似于当今管道聚合的方式处理数据变得极其简单。 例如,假设你要计算导数的导数。 以最简单的形式:

from sales
| eval (stats derivative(sales)) as fist_der
| eval (stats derivative(first_der)) as second_der

使用 ESQL 实现可观察性

站点可靠性工程师 (SRE) 在处理海量数据时面临着挑战。 他们负责使用这些数据来防止和修复系统停机和其他相关问题。 他们监控数千个生成重要跟踪、日志和指标数据的系统。 然后 SRE 使用此数据来识别问题并实施措施以防止将来系统或应用程序中断。 因此,对于 SRE 而言,结合对多个数据集的理解来分析系统行为的能力至关重要。

可观察性摄取的数据本质上是不可预测的。 ESQL 为 SRE 提供了关联和重塑数据的方法,以更深入地了解系统和应用程序行为。 它扩展了他们在发现问题后执行事后分析的能力,并且这种宝贵的洞察力可直接用于防止将来出现类似问题。

下面关于数据处理的部分将使用可观察性示例。

使用新的 Elasticsearch 计算功能探索一种全新的数据处理方式

ESQL 表达式在从索引数据中释放洞察力方面既灵活又强大。 但这些表达式背后的繁重工作发生在 Elasticsearch 本身。 我们构建了一个新的计算引擎来支持 ESQL 公开的数据处理功能。 最值得注意的是,改进了摄取后数据处理、中间数据状态、查找函数和子查询。

ESQL 完全依赖于 Elasticsearch 中的新计算和处理功能。 ESQL 不是通过转换来解释和执行的。 相反,ESQL 表达式完全在 Elasticsearch 本身内处理。

摄取后处理

ESQL 集成在整个 Kibana 中,可以快速轻松地访问最常见、最有用的聚合和预测。 想象一下使用指标数据的索引。 分析师可能想要计算比率或对摄取的数据执行聚合。 使用 ESQL,这些可以很容易地从基础索引中派生出来。

from network_flow 
| stats count(*) filter (where transport == ‘udp’) as udp_count
| stats count(*) filter (where transport == ‘tcp’) as tcp_count
| eval total_transport_events = udp_count + tcp_count
| eval udp_per_total = udp_count / total_transport_events

通过支持快速轻松地聚合和转换基础索引,ESQL 在分析师塑造和探索数据时开辟了重要的新见解。 这简化了数据摄取,因为 ESQL 允许分析师从一组广泛的基础索引中获得新的结构和见解。

数据管道和中间数据

支持 ESQL 表达式的另一个关键部分是处理处于中间状态的数据。 在数据通过不同的管道阶段时处理和修改数据的能力是 ESQL 公开的处理能力的核心。

考虑以下查询,我们在其中搜索指标索引以查找具有最高 CPU 使用率峰值的五个主机名。

from metrics
| stats max(system.process.cpu.total.pct) as max_cpu by hostname
| where max_cpu > .800 and hostname == '*web*' 
| sort max_cpu desc
| limit 5

此数据管道的每个阶段都会生成表格输出。 最初的 from metrics 命令检索所有索引数据。 然后该表在 system.process.cpu.total.pct 上聚合并按 hostname 分组,从而产生一个唯一的表。 然后对这些表格结果进行过滤和排序以生成所需的输出。

max_cpuhostname
.9891webapache
.9781websftp
.964nfsweb
.9552webredis
.943web_staging_primary

然后可以将此输出用作可视化或警报的基础。

查找和子查询

ESQL 还向 Elasticsearch 引入了查找和子查询功能。

ESQL 可以在单独的查找索引中查找值。 这最常用于在查询时丰富结果。 查找类似于 SQL 左连接,因为它们使用指定的键从外部索引返回字段。

例如,查找索引包含有关由唯一键标识的系统用户的信息。 ESQL 表达式可以在这些索引中查找数据以在结果中返回这些外部数据。 此查询使用来自 user_info_lookup 索引的用户数据丰富了 access_logs 索引的结果。 具体来说,将返回查找索引中的电子邮件和状态字段。

from access_logs where user != 'root'
| lookup user_info_lookup['email', 'state'] on userid
userid[ … access_logs … ]emailstateuserid
3455bobNY3455

子查询使用户能够将不同的查询作为参数嵌入到其他查询中。 例如,SRE 可能希望使用聚合作为针对同一索引的查询中的参数。 在这里,SRE 使用总登录次数来计算特定用户的登录百分比。

from user_login where userid = 1234
| eval stats count(*) as 1234_logins
| eval total_logins = [from logs where userid = *| stats count(*) as  total_logins]
| eval round((1234_logins / total_logins), 2) as 1234_pct

通过使用查找和子查询,分析师和 SRE 等人可以利用他们所有的 Elasticsearch 来生成极其丰富的数据结构,并从 Elasticsearch 中的数据中获得新的见解。

ESQL 从根本上改变并改进了你与 Elastic Search Platform 中的数据交互的方式。 ESQL 以快速转换和连接大型数据集的强大功能释放数据的价值; 搜索、过滤和处理大量数据; 并最终减少响应和解决时间。 我们期待看到你将其付诸实践!

加入我们的分析之旅

对 ESQL、转换和连接以及使用多步查询感到兴奋吗? 我们也是。 随着 Elastic 团队继续开发和准备发布这些功能,请密切关注更多新闻。

有兴趣先于其他人试用此解决方案吗? 你可以通过讨论论坛或我们的 Elastic 社区 Slack 频道与我们联系。 我们期待你的反馈,以帮助塑造我们新的查询语言、计算引擎和基于查询的调查工作流的方向。

本博文中描述的任何特性或功能的发布和时间安排均由 Elastic 自行决定。 当前不可用的任何特性或功能可能无法按时交付或根本无法交付。

原文:https://www.elastic.co/blog/introduction-to-esql-new-query-language-flexible-iterative-analytics

Elastic 中国社区官方博客
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
Elasticsearch:不用高深的数学知识来理解 LLMs 是如何工作的
06-20 1008
​我相信您同意,我们无法忽视生成式人工智能 (GenAI),因为我们不断被有关大型语言模型 (LLMs) 的主流新闻轰炸。你很可能已经尝试过 ChatGPT,甚至可能一直将其作为助手使用。我认为很多人对 GenAI 革命有一个基本疑问,即这些模型的明显智能来自哪里。在本文中,我将尝试用简单的术语解释生成式文本模型的工作原理,而不使用高级数学,以帮助你将它们视为计算机算法而不是魔法。
博客
Elasticsearch:ES|QL 查询展示
11-25 1214
这篇文章是继我昨天完成的文章 ​“Elasticsearch:ES|QL 函数及操作符” 的另外一篇文章。我将继续使用之前文章 “” 中的例子来结合 ES|QL 函数来做更进一步的展示。希望能对之前的文章做一个更进一步的展示。在这里,我将主要使用 Dev Tools 来进行展示。:在进行如下的例子之前,你需要至少安装 Elastic Stack 8.11 及以上版本。
博客
Elastic:如何成为一名 Elastic 认证工程师,Elastic 认证分析师及 Elastic 认证可观测性工程师
10-28 2万+
Elasticsearch 无疑是是目前世界上最为流行的大数据搜索引擎。根据 DB - Engines 的统计,Elasticsearch 雄踞排行榜第一名,并且市场还在不断地扩大:能够成为一名 Elastic 认证工程师也是很多开发者的梦想。这个代表了 Elastic 的最高认证,在业界也得到了很高的认知度。得到认证的工程师,必须除了具有丰富的 Elastic Stack 知识,而且必须有丰富的操作及有效的解决问题的能力。拥有这个认证证书,也代表了个人及公司的荣誉。针对个人的好处是,你可以..
博客
Elastic:开发者上手指南
02-25 14万+
你们好,我是Elastic的刘晓国。如果大家想开始学习Elastic的话,那么这里将是你理想的学习园地。在我的博客几乎涵盖了你想学习的许多方面。在这里,我来讲述一下作为一个菜鸟该如何阅读我的这些博客文章。我们可以按照如下的步骤来学习:1)Elasticsearch简介:对Elasticsearch做了一个简单的介绍2)Elasticsearch中的一些重要概念:cluster, n..........................................................
博客
Elastic:培训视频 - ​在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全
01-06 1万+
在这篇文章中,我将会把我写的有些内容录制成视频,供大家参考。希望对大家有所帮助。优酷的视频频道地址在这里。Elastic 简介及Elastic Stack 安装:优酷,腾讯 Elastic Stack docker 部署:优酷,腾讯 Elasticsearch中的一些重要概念(Cluster/Shards/Replica/Document/Type/Index):优酷,腾讯 开始使用El...............
博客
Elasticsearch 简介
08-08 16万+
Elasticsearch是一个非常强大的搜索引擎。它目前被广泛地使用于各个IT公司。Elasticsearch是由Elastic公司创建并开源维护的。它的开源代码位于https://github.com/elastic/elasticsearch。同时,Elastic公司也拥有Logstash及Kibana开源项目。这个三个开源项目组合在一起,就形成了 ELK软件栈。他们三个共同形成了一个强大的...
博客
Elasticsearch:Painless scripting 语言(一)
06-30 519
Painless 是一种高性能、安全的脚本语言,专为 Elasticsearch 设计。你可以使用 Painless 在 Elasticsearch 支持脚本的任何地方安全地编写内联和存储脚本。
博客
15 个适用于企业的生成式 AI 用例
06-30 687
关于及其能做什么(和不能做什么)有很多讨论。生成式人工智能(例如大型语言模型 -)利用从大量训练数据中学习到的模式和结构来创建原创内容,而无需存储数据本身。这包括创建文本、软件代码和艺术等。虽然它可以创建内容,但它不会很快。尽管如此,它正在重塑全球行业的格局,从增强网络安全防御到个性化客户体验。事实上,99% 的受访组织表示,。让我们深入研究生成式人工智能如何通过协助使用它的人来释放新的可能性并改变日常业务运营。
博客
实验场:在几分钟内使用 Elasticsearch 进行 RAG 应用程序实验
06-29 891
我们很高兴发布我们的 Playground 体验 —- 一个低代码界面,开发人员可以在几分钟内使用自己的私人数据探索他们选择的 LLM。在对对话式搜索进行原型设计时,快速迭代和试验 RAG 工作流的关键组件(例如:混合搜索或添加重新排名)的能力非常重要 —- 以便从 LLMs 获得准确且无幻觉的响应。Elasticsearch 向量数据库和 Search AI 平台为开发人员提供了广泛的功能,例如全面的混合搜索,以及使用来自越来越多的 LLM 提供商的创新。
博客
GenAI 用于客户支持 — 第 1 部分:构建我们的概念验证
06-29 462
​欢迎来到 Inside Elastic 博客系列,我们将展示 Elastic 的内部运营如何解决实际业务挑战。本系列将揭示我们将生成式 AI(gererative AI - GenAI)集成到客户成功和支持运营中的历程,让你了解我们流程的幕后情况。我们在构建此功能的同时,也在博客中介绍它,我们很高兴你能加入我们的行列!​
博客
Elasticsearch 与 OpenSearch:解开向量搜索性能差距
06-27 1189
Elasticsearch 的开箱即用的向量搜索速度比 OpenSearch 快 2 到 12 倍。向量搜索正在彻底改变我们进行相似性搜索的方式,尤其是在人工智能和机器学习等领域。随着向量嵌入模型的日益普及,高效搜索数百万个高维向量的能力变得至关重要。Elastic 收到了来自社区的大量请求,要求我们澄清 Elasticsearch 和 OpenSearch 之间的性能差异,尤其是在语义搜索/向量搜索领域。鉴于这个主题的重要性,我们进行了性能测试,以提供清晰的、数据驱动的比较 —— 没有歧义,只有直截了
博客
可持续性是 Elastic: 进步与新机遇的一年
06-26 291
​我们最新的可持续发展报告(Sustainability Report)总结了 Elastic 又一个令人兴奋的进步年,我们的项目继续揭示新的机遇。过去的一年对于我们与主要利益相关者群体合作以更好地了解他们的目标并朝着我们共同的可持续发展愿望迈进至关重要。越来越多的客户渴望与我们合作以履行自己的承诺,这些客户来自不同的行业和地区,这让我感到振奋。参与气候行动和脱碳措施令人振奋,为围绕共同抱负的合作开辟了新的机会。对我来说,这完美地体现了我们 Source code 中客户至上的方面。
博客
使用 Elastic ELSER 和 Llama3 的 RAG(使用 Langchain)
06-26 1076
​在之前的文章 “使用 Llama 3 开源和 Elastic 构建 RAG”,我们讲到了如何使用 Liama3 来结合 Elastic ELSER 来进行 RAG。在今天的文章里,我们来详细使用一个 notebook 来展示如何在本地 Elasticsearch 部署中进行实现。此交互式 notebook 使用 Langchain 处理虚构的工作场所文档,并使用在 Elasticsearch 中运行的 ELSER v2 将这些文档转换为嵌入并将它们存储到 Elasticsearch 中。然后我们提出
博客
Elasticsearch:使用 semantic_text 简化语义搜索
06-25 1115
semantic_text - 你知道,用于语义搜索!你是否想开始使用语义搜索来搜索数据,但专注于模型和结果而不是技术细节?我们引入了 semantic_text 字段类型,它将处理你所需的细节和基础架构。语义搜索(semantic search)是一种复杂的技术,旨在通过利用机器学习模型来增强搜索结果的相关性。与传统的基于关键字的搜索不同,语义搜索专注于理解单词的含义及其使用的上下文。这是通过应用机器学习模型来实现的,这些模型可以提供对文本的更深入的语义理解。
博客
Elasticsearch:使用 Llamaindex 的 RAG 与 Elastic 和 Llama3
06-25 801
​这篇文章是对之前的文章 “使用 Llama 3 开源和 Elastic 构建 RAG” 的一个补充。我们可以在本地部署 Elasticsearch,并进行展示。我们将一步一步地来进行配置并展示。你还可以参考我之前的另外一篇文章 “Elasticsearch:使用在本地计算机上运行的 LLM 以及 Ollama 和 Langchain 构建 RAG 应用程序”。
博客
将 Cohere 与 Elasticsearch 结合使用
06-24 949
本教程中的说明向你展示了如何使用推理 API 使用 Cohere 计算嵌入并将其存储起来,以便在 Elasticsearch 中进行高效的向量或混合搜索。本教程将使用 Python Elasticsearch 客户端执行操作。本教程使用数据集。请参阅,了解使用不同数据集的示例。
博客
Elasticsearch 数据提取 - 最适合这项工作的工具是什么?
06-22 1314
了解在 Elasticsearch 中为你的搜索用例提取数据的所有不同方式。对于搜索用例,高效采集和处理来自各种来源的数据的能力至关重要。无论你处理的是 SQL 数据库、CRM 还是任何自定义数据源,选择正确的数据采集工具都会对你的 Elasticsearch 体验产生重大影响。在本博客中,我们将探索 Elastic Stack 的三种搜索数据采集工具:Logstash、客户端 API 以及我们的 Elastic Native Connectors + Elastic Connector Framewo
博客
Elasticsearch:倒数排序融合 - Reciprocal rank fusion - 8.14
06-21 1396
此功能处于技术预览阶段,可能会在未来版本中更改或删除。语法可能会在正式发布之前发生变化。Elastic 将努力修复任何问题,但技术预览中的功能不受官方正式发布功能的支持 SLA 约束。倒数排序融合 (reciprocal rank fusion - RRF) 是一种将具有不同相关性指标的多个结果集组合成单个结果集的方法。RRF 无需调整,并且不同的相关性指标不必相互关联即可获得高质量的结果。:在今天的文章中,RFF 有别于之前版本。这个描述是从 8.14.0 开始的。在这个版本之前,请参阅 “
博客
使用 Llama 3 开源和 Elastic 构建 RAG
06-21 891
使用开源的 Llama 3 和 Elastic 构建 RAGLlama 3 是 Meta 最近推出的开源大型语言模型。这是 Llama 2 的后继者,根据已发布的指标,这是一个重大改进。与 Gemma 7B Instruct、Mistral 7B Instruct 等最近发布的一些模型相比,它具有良好的评估指标。该模型有两个变体,分别是 80 亿和 700 亿参数。值得注意的是,在撰写这篇博客时,Meta 仍在训练 400B+ 版本的 Llama 3。
博客
使用 Elasticsearch 中的地理语义搜索增强推荐功能
06-19 1329
浏览地理和富文本数据是一项重大挑战,尤其是对于景点推荐服务而言。当数据是非结构化和多语言数据时,处理大量且多样化的数据(例如评论、评分、图像、位置、标签和营业时间)会变得很复杂。Elasticsearch 的混合地理语义搜索(hybrird goe-semantic search)功能通过在单一平台内结合空间数据处理和高级向量文本分析,提供了实用的解决方案。无论你是在搜索地标还是适合家庭的景点,Elasticsearch 都能实现精确而高效的数据检索。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值