Elasticsearch索引克隆还原修改创建数据

已于 2024-08-09 15:42:51 修改
阅读量394 收藏 5
点赞数 6
分类专栏: ES 文章标签: elasticsearch 大数据 搜索引擎 克隆
于 2024-05-06 15:18:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1010256340/article/details/138495893
版权

背景

        ES有一条索引security_log_2024.04.24,想以此索引为目标生成security_log_2023.12.24索引和数据。

导出mapping

elasticdump \
        --input=http://192.168.233.2:29200/security_log_2024.04.24 \
        --output=/tmp/es/security_log_2024.04.24-mapping.json \
        --type=mapping \
        --limit=10000 --concurrency=100 --concurrencyInterval=30 --intervalCap=50

导入mapping

elasticdump \
   --input=/tmp/es/mapping/mapping.json \
   --output=http://192.168.233.2:29200/security_log_2023.12.24 \
   --type=mapping \
   --limit=10000 --concurrency=100 --concurrencyInterval=30 --intervalCap=50

导出数据

elasticdump \
        --input=http://192.168.233.2:29200/security_log_2024.04.24 \
        --output=/tmp/es/security_log_2024.04.24-data.json \
		--searchBody='{"query": { "match_all": {} }, "stored_fields": ["*"], "_source": true }' \
        --limit=10000 --concurrency=100 --concurrencyInterval=30 --intervalCap=50

导入数据

elasticdump \
   --input=/tmp/es/security_log_2024.04.24-data.json \
   --output=http://192.168.233.2:29200/security_log_2023.12.24 \
   --type=data \
   --limit=10000 --concurrency=100 --concurrencyInterval=30 --intervalCap=50

修改创建时间字段

curl -X POST "http://192.168.233.2:29200/security_log_2023.12.18/_update_by_query"  -d  \
'{
  "script": {
    "inline": "ctx._source.create_time -= params.value",
    "params": {
      "value": 10540800701
    }
  },
  "query": {
    "match_all": {}
  }
}'

查询数据

curl -XGET http://192.168.233.2:29200/security_log_2023.12.24/_search -H 'Content-Type: application/json' -d '{"query":{"bool":{"must":[{"match_all":{}}],"must_not":[],"should":[]}},"from":0,"size":10,"sort":[],"aggs":{}}'

根据条件查询数据总条数

curl -X GET "http://172.16.6.81:29200/security_log_2024.02.22/_count" -H 'Content-Type: application/json' -d '{"query":{"bool":{"must":[{"term":{"eqpt_ip":"172.16.61.16"}}]}}}'

查询event_type字段值为以下枚举值其中一个,随机获取1000行

curl -X GET "http://172.16.6.11:29200/security_log_2024.02.22/_count" -H 'Content-Type: application/json' -d '
{
  "size": 1000,
  "query": {
    "function_score": {
      "query": {
        "terms": {
          "event_type": [
            "信息泄露",
            "SQL注入",
            "命令执行",
            "缓存溢出",
            "DOS攻击"
          ]
        }
      },
      "random_score": {}
    }
  }
}'

查询存在event_type字段,只输出create_time字段

{
  "query": {
    "exists": {
      "field": "event_type"
    }
  },
  "_source": ["create_time"],
  "size": 10,
  "from": 0,
  "sort": []
}

查询_id="d49ce03e"的数据

{
  "query": {
    "query_string": {
      "query": "_id:\"d49ce03e\""
    }
  },
  "size": 10,
  "from": 0,
  "sort": []
}

查询id字段以"0x"开头,action字段值为"pass",event_type取枚举值的数据

{
  "query": {
    "bool": {
      "must": [
        {
          "prefix": {
            "id": "0x"
          }
        },
        {
          "match": {
            "action": "pass"
          }
        },
        {
          "terms": {
           "event_type": [
        "请求访问",
        "信息泄露",
        "SQL注入",
        "命令执行",
        "缓存溢出",
        "DOS攻击"
      ]
          }
        }
      ]
    }
  },
  "from": 0,
  "size": 10
}

删除2024-07-25 00:00:00-2024-07-26 00:00:00之间的数据

#2024-07-25 00:00:00   2024-07-26 00:00:00
#1721836800000         1721923200000
curl -X POST "http://172.31.125.12:29200/security_log_2024.07.26/_delete_by_query" -H 'Content-Type: application/json' -d'
{
  "query": {
    "bool": {
      "must": [
        {
          "range": {
            "create_time": {
              "gte": "1721836800000",
              "lte": "1721923200000"
            }
          }
        }
      ]
    }
  }
}'

更新#2024-07-28 00:00:00-2024-07-29 00:00:00之间的数据的create_time和idss_collect_time值,都减去2天

1天的时间戳
86400000

2天的时间戳
172800000

3天的时间戳
259200000

#2024-07-28 00:00:00   2024-07-29 00:00:00
#1722096000000         1722182400000
curl -X POST "http://172.31.125.11:29200/security_log_2024.07.26/_update_by_query"  -d  \
'{
  "script": {
    "inline": "ctx._source.create_time -= params.value;ctx._source.idss_collect_time -= params.value",
    "params": {
      "value": 172800000
    }
  },
  "query": {
    "bool": {
      "must": [
        {
          "range": {
            "create_time": {
              "gte": "1722096000000",
              "lte": "1722182400000"
            }
          }
        }
      ]
    }
  }
}'

更新索引security_log_2024.07.26字段raw_log值,把"<142>Jul 28"替换为"<142>Jul 26"

#更新索引security_log_2024.07.26字段raw_log值,把"<142>Jul 28"替换为"<142>Jul 26"
curl -X POST "http://172.31.125.12:29200/security_log_2024.07.26/_update_by_query" -H 'Content-Type: application/json' -d '
{
  "script": {
    "inline": "ctx._source.raw_log=ctx._source.raw_log.replace(params.oldString,params.newString);",
        "params": {"oldString":"Jul 28","newString":"Jul 26"}
  },
"query": {
    "bool": {
      "must": [
        {
          "range": {
            "create_time": {
              "gte": "1722167605000",
              "lte": "1722182400000"
            }
          }
        }
      ]
    }
  }
}'

导出#2024-07-28 20:12:30-2024-07-29 00:00:00之间的数据

#2024-07-28 20:12:30   2024-07-29 00:00:00
#1722168750000         1722182400000
elasticdump \
        --input=http://172.31.125.11:29200/security_log_2024.07.28 \
        --output=/es-log-bak/es/security_log_2024.07.28-25.json \
        --type=data \
                --searchBody='{"query":{"bool":{"must":[{"range":{"create_time":{"gte":"1722168750000","lte":"1722182400000"}}}],"must_not":[],"should":[]}},"from":0,"size":10,"sort":[],"aggs":{},"stored_fields":["*"],"_source":true}' \
        --limit=10000 --concurrency=100 --concurrencyInterval=30 --intervalCap=50

修改2024-07-28 20:12:30-2024-07-29 00:00:00之间的时间字段和raw_log字符串的日期

#2024-07-28 20:12:30   2024-07-29 00:00:00
#1722168750000         1722182400000
修改时间字段和raw_log的日期
curl -X POST "http://172.31.125.11:29200/security_log_2024.07.25/_update_by_query"  -d  \
'{
  "script": {
    "inline": "ctx._source.create_time -= params.value;ctx._source.idss_collect_time -= params.value;ctx._source.raw_log=ctx._source.raw_log.replace(params.oldString1,params.newString1);ctx._source.raw_log=ctx._source.raw_log.replace(params.oldString2,params.newString2);",
    "params": {
      "value": 259200000,"oldString1":"Jul 28","newString1":"Jul 25","oldString2":"Jul 27","newString2":"Jul 25"
    }
  },
  "query": {
    "bool": {
      "must": [
        {
          "range": {
            "create_time": {
              "gte": "1722168750000",
              "lte": "1722182400000"
            }
          }
        }
      ]
    }
  }
}'

故障解决方案

es-数据导出 elastice_dump 报错 parsing_exception The field [fields] is no longer supported-CSDN博客

架构师之路魂
关注
专栏目录
Elasticsearch学习(二十三)索引 Clone 和 ReIndex
码易的博客
05-21 1136
目录前言一、索引Clone1、创建连接2、创建索引3、创建映射4、实体类5、写入数据6、索引 Clone7、查询新索引二、索引 ReIndex1、示例2、查询新索引三、总结 前言 索引 Clone 和 ReIndex 可以用于 es 数据复制、备份,本文简单测试 Clone 和 ReIndex 的使用。 一、索引Clone 首先搭建 es 服务,可参考之间的博客。下面通过示例测试 es 索引克隆 1、创建连接 这里使用的时elasticsearch8,连接方式是用户名密码 + 证书的方式 publi
ElasticsearchElasticsearch:Searchable snapshot - 可搜索的快照
九师兄
07-18 774
可搜索快照使你可以使用快照(snapshot)以极具成本效益的方式搜索不经常访​​问的只读数据。冷的(cold)和冻结的(frozen)数据使用可搜索的快照来减少存储和运营成本。可搜索的快照消除了对副本分片 (replica shards)的需求,从而有可能使搜索数据所需的本地存储减半。可搜索快照依赖于已经用于备份的快照机制,并且对快照存储库存储成本的影响最小。
Elasticsearch克隆索引
vincent_duan的专栏
04-19 647
我所使用Elasticsearch的版本是基于7.17.7。需求是将某个ES的索引进行克隆。别名就可以搜到这个当前别名下的数据了。
Elasticsearch复制索引
最新发布
qq_44848009的博客
07-10 333
可能版本语法问题,若上述不生效,尝试下面这个。1,复制前需要禁止原索引写入数据
ElasticSearch之Clone index API
Jackie的家
12-04 204
ElasticSearch之Clone index API
Elasticsearch复制 - replication
Elastic 中国社区官方博客
06-04 2185
在本篇文章,我们来讲述 Elasrticsearch 集群重要的一个概念 replication,也即复制
es 安装kopf_Elasticsearch-kopf导览
最佳 Java 编程
06-15 920
es 安装kopf 当我需要一个插件来显示Elasticsearch的集群状态时,或者需要深入了解通常为经典插件elasticsearch-head所达到的索引时。 由于有很多建议,而且似乎是非官方的继任者,所以我最近更详细地研究了elasticsearch-kopf 。 我喜欢它。 我不确定为何会出现elasticsearch-kopf,但它似乎是对Elasticsearch-head的...
2022最新总结【Java岗面试核心笔记】速成版
SharingOfficer的博客
09-28 587
所有的面试题目都不是一成不变的,特别是像一线大厂,面试题只是给大家一个借鉴作用,最主要的是给自己增加知识的储备,有备无患。行业浮浮沉沉,希望能帮助大家提升面试复习效率找到一个更好的工作!
【任雨杰真帅啊】7. SpringBoot 集成MySQL高可用数据库(三)
RikC.
12-28 1034
我打算创建一个专栏,主要用于结合八股文和各种场景题来进行代码实践,包括但不限制于集成各种间件去实现对应的场景和工具封装,该文章为SpringBoot专栏的一个系列,希望大家观看以后帮我多多点赞评论。 大家的点赞和关注是我创作的动力,实属不易,谢谢大家~
大数据开发面试题总结-超详细
JohnnyChu的博客
11-18 1万+
1、文件上传: 总结: 客户端上传请求--->namenode检查,返回响应--->客户端真正的文件上传请求,包括文件名,文件大小--->namenode返回上传节点--->客户端准备上传,进行块的逻辑切分--->客户端构建pipline流--->开始上传,先上传到缓存,再上传到磁盘--->上传完成,关闭pipline流--->上...
ElasticSearch的REST APIs 之 索引管理(): shrink, split, clone
aben_sky的专栏
10-18 828
基于ES 7.7, 官方文档 https://www.elastic.co/guide/en/elasticsearch/reference/7.7/indic...
elasticsearch 迁移数据命令
泥猴
07-29 120
1,docker 拉取 elasticsearch-dump镜像。2,迁移mapping。
elasticsearch备份和还原
qq_29299555的博客
03-17 268
1备份脚本 #!/bin/bash ip_addr=127.0.0.1 resposity_name=es_backup snapshot_location_path=/home/user1/program/backups/es_backup/$resposity_name snapshot_tar_path=/home/user1/...
elasticsearch 索引复制 数据
fyj的博客
02-13 6027
http://localhost:9200/_reindex {   "source": {     "index": "old_index"   },   "dest": {     "index": "new_index",     "op_type": "create"   } } 原网址 https://www.elastic.co/guide/en/elastics
elasticsearch实现远程索引复制
lpp_dd的博客
11-16 6797
1、环境准备elasticsearch5.x2、配置文件设置在elasticsearch.yml配置文件添加白名单,这里的白名单表示允许远程指定ip上的es访问我的es 在elasticsearch.yml文件添加:reindex.remote.whitelist: [“ip:9200”,”ip2:9200”] 注意:1、多个ip地址时用逗号间隔 2、在源es与目标es上都需要进行配置。3、
ElasticSearch 复制数据到新的 索引 copy data to new index
kongzilaile的博客
03-23 7727
问题:index一旦建立后,无法再修改内部的setting、mapping ,所以只能通过新建备份index,再把data copy过去,然后再把原来的删了,重新建立全新的index首先需要安装一个插件elasticsearch-dump  参考官网:https://github.com/taskrabbit/elasticsearch-dump新建一个修改后的 index 然后通过dump命令同...
Elasticsearch索引迁移的四种方式
热门推荐
铭毅天下Elasticsearch
03-23 7万+
本文主要讲解Elasticsearch下实现索引迁移的几种方式。 0、引言 将ES索引拷贝到其他ES,或者将ES整体迁移,研究发现有两个开源的工具:elaticserch-dump和 Elasticsearch-Exporter。 除此之外,logstash在索引同步、迁移方面的作用也很大。 两工具及logstash实现迁移的介绍、安装、使用、验证效果等展示如下: 1、el...
Elasticsearch 技术分析(一): 基础入门
JaJian的博客
11-19 4197
简介 Elasticsearch是一个高度可扩展的、开源的、基于 Lucene 的全文搜索和分析引擎。它允许您快速,近实时地存储,搜索和分析大量数据,并支持多租户。 Elasticsearch使用Java开发并使用 Lucene 作为其核心来实现所有索引和搜索的功能,但是它的目的是通过简单的 RESTful API 来隐藏 Lucene 的复杂性,从而让全文搜索变得简单。 不过,Ela...
Python Elasticsearch创建索引数据写入全教程
在本文档,我们将深入探讨如何使用Python与Elasticsearch进行交互,从创建索引到写入数据的整个过程。Elasticsearch是一个强大的分布式搜索引擎,特别适合处理大量结构化和非结构化数据。以下是关键知识点的详细...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

架构师之路魂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值