开始使用Elasticsearch
准备好测试驱动程序的Elasticsearch了吗?看看如何使用REST api来存储、搜索和分析数据?
步骤通过这个入门教程到:
启动并运行一个Elasticsearch实例
索引一些示例文档
使用Elasticsearch查询语言搜索文档
使用bucket和度量聚合分析结果
需要更多的?
查看Elasticsearch介绍,学习术语并了解基本的Elasticsearch工作原理。如果您已经熟悉Elasticsearch,并且希望了解它如何与堆栈的其余部分一起工作,那么您可能希望跳到Elastic stack教程,了解如何使用Elasticsearch、Kibana、Beats和Logstash设置系统监视解决方案。
提示
开始使用Elasticsearch的最快方法是在云中免费试用14天的Elasticsearch服务。
Installation
安装
提示
通过在Elastic Cloud上使用我们托管的Elasticsearch服务,您可以跳过安装Elasticsearch。Elasticsearch服务可以在AWS和GCP上使用。免费试用Elasticsearch服务。
请注意
Elasticsearch包含了JDK维护者(GPLv2+CE)提供的OpenJDK捆绑版本。要使用您自己的Java版本,请参阅JVM版本需求
可以从www.elastic.co/下载这些二进制文件。平台相关的归档文件可用于Windows、Linux和macOS。此外,DEB和RPM包可用于Linux, MSI安装包可用于Windows。您还可以使用Elastic Homebrew tap在macOS上使用brew包管理器安装。
Linuxedit上的安装示例
为了简单起见,我们使用tar文件。
让我们下载Elasticsearch 7.2.0 Linux tar,如下所示:
curl -L -O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.2.0-linux-x86_64.tar.gz
然后提取如下:
tar -xvf elasticsearch-7.2.0-linux-x86_64.tar.gz
然后,它将在当前目录中创建一组文件和文件夹。然后进入bin目录如下:
cd elasticsearch-7.2.0/bin
现在我们准备好启动节点和单个集群:
./elasticsearch
使用MSI Windows Installeredit安装示例
对于Windows用户,为了便于使用,我们建议使用MSI安装程序包。该包包含一个图形用户界面(GUI),指导您完成安装过程。
首先,从https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.2.0.msi下载Elasticsearch 7.2.0 MSI。
然后双击下载的文件来启动GUI。在第一个屏幕中,选择部署目录:
msi安装位置
然后选择是作为服务安装,还是根据需要手动启动Elasticsearch。要与Linux示例保持一致,请选择不将其安装为服务:
msi安装程序没有服务
对于配置,只需保留默认值:
msi安装配置
同样,为了与tar示例保持一致,取消选中所有插件以不安装任何插件:
msi安装插件
点击install按钮后,将安装Elasticsearch:
msi安装成功
默认情况下,Elasticsearch将安装在%PROGRAMFILES%\Elastic\Elasticsearch。导航到这里,进入bin目录如下:
with Command Prompt:
cd %PROGRAMFILES%\Elastic\Elasticsearch\bin
with PowerShell:
cd $env:PROGRAMFILES\Elastic\Elasticsearch\bin
And now we are ready to start our node and single cluster:
.\elasticsearch.exe
成功启动节点
如果安装一切顺利,您应该会看到一串如下所示的消息:
[2018-09-13T12:20:01,766][INFO ][o.e.e.NodeEnvironment ] [localhost.localdomain] using [1] data paths, mounts [[/home (/dev/mapper/fedora-home)]], net usable_space [335.3gb], net total_space [410.3gb], types [ext4]
[2018-09-13T12:20:01,772][INFO ][o.e.e.NodeEnvironment ] [localhost.localdomain] heap size [990.7mb], compressed ordinary object pointers [true]
[2018-09-13T12:20:01,774][INFO ][o.e.n.Node ] [localhost.localdomain] node name [localhost.localdomain], node ID [B0aEHNagTiWx7SYj-l4NTw]
[2018-09-13T12:20:01,775][INFO ][o.e.n.Node ] [localhost.localdomain] version[7.2.0], pid[13030], build[oss/zip/77fc20e/2018-09-13T15:37:57.478402Z], OS[Linux/4.16.11-100.fc26.x86_64/amd64], JVM["Oracle Corporation"/OpenJDK 64-Bit Server VM/10/10+46]
[2018-09-13T12:20:01,775][INFO ][o.e.n.Node ] [localhost.localdomain] JVM arguments [-Xms1g, -Xmx1g, -XX:+UseConcMarkSweepGC, -XX:CMSInitiatingOccupancyFraction=75, -XX:+UseCMSInitiatingOccupancyOnly, -XX:+AlwaysPreTouch, -Xss1m, -Djava.awt.headless=true, -Dfile.encoding=UTF-8, -Djna.nosys=true, -XX:-OmitStackTraceInFastThrow, -Dio.netty.noUnsafe=true, -Dio.netty.noKeySetOptimization=true, -Dio.netty.recycler.maxCapacityPerThread=0, -Dlog4j.shutdownHookEnabled=false, -Dlog4j2.disable.jmx=true, -Djava.io.tmpdir=/tmp/elasticsearch.LN1ctLCi, -XX:+HeapDumpOnOutOfMemoryError, -XX:HeapDumpPath=data, -XX:ErrorFile=logs/hs_err_pid%p.log, -Xlog:gc*,gc+age=trace,safepoint:file=logs/gc.log:utctime,pid,tags:filecount=32,filesize=64m, -Djava.locale.providers=COMPAT, -XX:UseAVX=2, -Dio.netty.allocator.type=unpooled, -Des.path.home=/home/manybubbles/Workspaces/Elastic/master/elasticsearch/qa/unconfigured-node-name/build/cluster/integTestCluster node0/elasticsearch-7.0.0-alpha1-SNAPSHOT, -Des.path.conf=/home/manybubbles/Workspaces/Elastic/master/elasticsearch/qa/unconfigured-node-name/build/cluster/integTestCluster node0/elasticsearch-7.0.0-alpha1-SNAPSHOT/config, -Des.distribution.flavor=oss, -Des.distribution.type=zip]
[2018-09-13T12:20:02,543][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [aggs-matrix-stats]
[2018-09-13T12:20:02,543][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [analysis-common]
[2018-09-13T12:20:02,543][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [ingest-common]
[2018-09-13T12:20:02,544][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [lang-expression]
[2018-09-13T12:20:02,544][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [lang-mustache]
[2018-09-13T12:20:02,544][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [lang-painless]
[2018-09-13T12:20:02,544][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [mapper-extras]
[2018-09-13T12:20:02,544][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [parent-join]
[2018-09-13T12:20:02,544][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [percolator]
[2018-09-13T12:20:02,544][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [rank-eval]
[2018-09-13T12:20:02,544][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [reindex]
[2018-09-13T12:20:02,545][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [repository-url]
[2018-09-13T12:20:02,545][INFO ][o.e.p.PluginsService ] [localhost.localdomain] loaded module [transport-netty4]
[2018-09-13T12:20:02,545][INFO ][o.e.p.PluginsService ] [localhost.localdomain] no plugins loaded
[2018-09-13T12:20:04,657][INFO ][o.e.d.DiscoveryModule ] [localhost.localdomain] using discovery type [zen]
[2018-09-13T12:20:05,006][INFO ][o.e.n.Node ] [localhost.localdomain] initialized
[2018-09-13T12:20:05,007][INFO ][o.e.n.Node ] [localhost.localdomain] starting ...
[2018-09-13T12:20:05,202][INFO ][o.e.t.TransportService ] [localhost.localdomain] publish_address {127.0.0.1:9300}, bound_addresses {[::1]:9300}, {127.0.0.1:9300}
[2018-09-13T12:20:05,221][WARN ][o.e.b.BootstrapChecks ] [localhost.localdomain] max file descriptors [4096] for elasticsearch process is too low, increase to at least [65535]
[2018-09-13T12:20:05,221][WARN ][o.e.b.BootstrapChecks ] [localhost.localdomain] max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]
[2018-09-13T12:20:08,355][INFO ][o.e.c.s.MasterService ] [localhost.localdomain] elected-as-master ([0] nodes joined)[, ], reason: master node changed {previous [], current [{localhost.localdomain}{B0aEHNagTiWx7SYj-l4NTw}{hzsQz6CVQMCTpMCVLM4IHg}{127.0.0.1}{127.0.0.1:9300}{testattr=test}]}
[2018-09-13T12:20:08,360][INFO ][o.e.c.s.ClusterApplierService] [localhost.localdomain] master node changed {previous [], current [{localhost.localdomain}{B0aEHNagTiWx7SYj-l4NTw}{hzsQz6CVQMCTpMCVLM4IHg}{127.0.0.1}{127.0.0.1:9300}{testattr=test}]}, reason: apply cluster state (from master [master {localhost.localdomain}{B0aEHNagTiWx7SYj-l4NTw}{hzsQz6CVQMCTpMCVLM4IHg}{127.0.0.1}{127.0.0.1:9300}{testattr=test} committed version [1] source [elected-as-master ([0] nodes joined)[, ]]])
[2018-09-13T12:20:08,384][INFO ][o.e.h.n.Netty4HttpServerTransport] [localhost.localdomain] publish_address {127.0.0.1:9200}, bound_addresses {[::1]:9200}, {127.0.0.1:9200}
无需详细介绍,我们可以看到我们的节点名为“localhost”。“localdomain”已启动并将自己选为单个集群中的主机。现在还不用担心master是什么意思。这里最重要的是,我们已经在一个集群中启动了一个节点。
如前所述,我们可以覆盖集群或节点名。当开始Elasticsearch时,可以从命令行执行以下操作:
./elasticsearch -Ecluster.name=my_cluster_name -Enode.name=my_node_name
还要注意标记为http的行,其中包含关于我们的节点可以访问的http地址(192.168.8.112)和端口(9200)的信息。默认情况下,Elasticsearch使用端口9200提供对其REST API的访问。如果需要,这个端口是可配置的。
探索您的集群
REST API
现在我们已经启动并运行了节点(和集群),下一步是了解如何与它通信。幸运的是,Elasticsearch提供了一个非常全面和强大的REST API,您可以使用它与集群进行交互。使用该API可以做的少数事情如下:
检查集群、节点和索引的健康状况、状态和统计数据
管理集群、节点、索引数据和元数据
对索引执行CRUD(创建、读取、更新和删除)和搜索操作
执行高级搜索操作,如分页、排序、过滤、脚本、聚合等
集群的健康
让我们从一个基本的健康检查开始,我们可以使用它来查看集群的运行情况。我们将使用curl来实现这一点,但是您可以使用任何允许您进行HTTP/REST调用的工具。假设我们仍然在开始Elasticsearch的节点上,并打开另一个命令shell窗口。
为了检查集群的健康状况,我们将使用_cat API。您可以在Kibana的控制台中运行下面的命令,方法是单击“在控制台中查看”,或者使用curl,方法是单击下面的“COPY AS curl”链接并将其粘贴到终端中。
GET /_cat/health?v
响应:
epoch timestamp cluster status node.total node.data shards pri relo init unassign pending_tasks max_task_wait_time active_shards_percent
1475247709 17:01:49 elasticsearch green 1 1 0 0 0 0 0 0 - 100.0%
我们可以看到名为“elasticsearch”的集群处于绿色状态。
每当我们要求集群健康状况时,我们要么得到绿色、黄色,要么得到红色。
绿色——一切正常(集群功能齐全)
黄色——所有数据可用,但有些副本尚未分配(集群功能完全)
红色——有些数据由于某种原因不可用(集群部分功能)
注意:当集群为红色时,它将继续为可用碎片的搜索请求提供服务,但是您可能需要尽快修复它,因为存在未分配的分片。
同样,从上面的响应中,我们可以看到总共有1个节点,并且有0个切分,因为其中还没有数据。注意,因为我们使用的是默认集群名称(elasticsearch)和由于elasticsearch使用单播网络发现默认情况下找到其他节点在同一台机器上,这是可能的,你可以启动多个节点在你的电脑上,让他们加入一个集群。在此场景中,您可能会在上面的响应中看到多个节点。
我们还可以得到集群中的节点列表如下:
GET /_cat/nodes?v
response:
ip heap.percent ram.percent cpu load_1m load_5m load_15m node.role master name
127.0.0.1 10 5 5 4.46 mdi * PB2SGZY
在这里,我们可以看到一个名为“PB2SGZY”的节点,它是当前集群中的单个节点。
列出所有指标
现在让我们来看看我们的索引:
GET /_cat/indices?v
response:
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size
这就意味着在这还没有指标。
创建一个索引
现在让我们创建一个名为“customer”的索引,然后再次列出所有索引:
PUT /customer?pretty
GET /_cat/indices?v
第一个命令使用PUT谓词创建名为“customer”的索引。我们只需在调用的末尾追加pretty,让它漂亮地打印JSON响应(如果有的话)。
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size
yellow open customer 95SQ4TSUT7mWBT7VNHH67A 1 1 0 0 260b 260b
第二个命令的结果告诉我们,现在有一个名为customer的索引,它有一个主分分和一个副本(默认值),其中没有包含任何文档。
您还可能注意到customer索引上标记了一个黄色health。回想一下我们前面的讨论,黄色表示还没有分配一些副本。发生这种情况的原因是,在默认情况下,Elasticsearch为该索引创建了一个副本。由于我们目前只有一个节点在运行,所以直到稍后另一个节点加入集群时,才可以分配该副本(用于高可用性)。一旦将该副本分配到第二个节点,该索引的健康状态将变为绿色。
索引和查询文档
现在让我们把一些东西放入我们的客户索引中。我们将一个简单的客户文档索引到客户索引中,ID为1,如下所示:
PUT /customer/_doc/1?pretty
{
"name": "John Doe"
}
response:
{
"_index" : "customer",
"_type" : "_doc",
"_id" : "1",
"_version" : 1,
"result" : "created",
"_shards" : {
"total" : 2,
"successful" : 1,
"failed" : 0
},
"_seq_no" : 0,
"_primary_term" : 1
}
从上面,我们可以看到在customer索引中成功创建了一个新的customer文档。文档的内部id也是1,这是我们在索引时指定的。
需要注意的是,Elasticsearch并不要求您在将文档编入索引之前先显式地创建索引。在前面的示例中,Elasticsearch将自动创建客户索引(如果它之前不存在)。
现在让我们检索刚才索引的文档:
GET /customer/_doc/1?pretty
response:
{
"_index" : "customer",
"_type" : "_doc",
"_id" : "1",
"_version" : 1,
"_seq_no" : 25,
"_primary_term" : 1,
"found" : true,
"_source" : { "name": "John Doe" }
}
这里只有一个字段found,说明我们找到了一个ID为1的文档和另一个字段_source,该字段返回上一步索引的完整JSON文档。
删除一个索引
现在让我们删除刚才创建的索引,然后再次列出所有索引:
DELETE /customer?pretty
GET /_cat/indices?v
response:
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size
这意味着索引被成功删除,现在我们回到了在集群中什么都没有开始的地方。
在我们继续之前,让我们再仔细看看到目前为止我们学过的一些API命令
PUT /customer
PUT /customer/_doc/1
{
"name": "John Doe"
}
GET /customer/_doc/1
DELETE /customer
如果仔细研究上面的命令,我们实际上可以看到在Elasticsearch中访问数据的模式。这种格局可以概括如下:
<HTTP Verb> /<Index>/<Endpoint>/<ID>
这种REST访问模式在所有API命令中都非常普遍,如果您能够简单地记住它,您将在掌握Elasticsearch方面有一个良好的开端。
修改你的数据
Elasticsearch提供近实时的数据操作和搜索功能。默认情况下,从索引/更新/删除数据到它出现在搜索结果中,您可以期待一秒钟的延迟(刷新间隔)。这是与其他平台(如SQL)的一个重要区别,在SQL中,事务完成后数据立即可用。
索引/替换文件
我们之前已经了解了如何索引单个文档。让我们再回忆一下这个命令:
PUT /customer/_doc/1?pretty
{
"name": "John Doe"
}
同样,上面将把指定的文档索引到customer索引中,ID为1。如果我们用一个不同的(或相同的)文档再次执行上面的命令,Elasticsearch将替换(即重新索引)ID为1的现有文档之上的一个新文档:
PUT /customer/_doc/1?pretty
{
"name": "Jane Doe"
}
上面将ID为1的文档名称从“John Doe”更改为“Jane Doe”。另一方面,如果我们使用不同的ID,则将索引一个新文档,并且索引中已有的文档保持不变。
PUT /customer/_doc/2?pretty
{
"name": "Jane Doe"
}
上面的索引是一个ID为2的新文档。
索引时,ID部分是可选的。如果没有指定,Elasticsearch将生成一个随机ID,然后使用它来索引文档。Elasticsearch实际生成的ID (或前面示例中显式指定的任何内容)作为索引API调用的一部分返回。
这个例子展示了如何索引一个没有显式ID的文档:
POST /customer/_doc?pretty
{
"name": "Jane Doe"
}
注意,在上面的例子中,我们使用POST谓词而不是PUT,因为我们没有指定ID。
更新文档
除了能够索引和替换文档外,我们还可以更新文档。请注意,Elasticsearch实际上并没有在底层执行就地更新。每当我们执行更新时,Elasticsearch都会删除旧文档,然后一次性为新文档添加更新索引。
这个例子展示了如何通过将name字段更改为“Jane Doe”来更新我们之前的文档(ID为1):
POST /customer/_update/1?pretty
{
"doc": { "name": "Jane Doe" }
}
这个例子展示了如何通过将name字段更改为“Jane Doe”来更新我们之前的文档(ID为1),同时添加一个年龄字段:
POST /customer/_update/1?pretty
{
"doc": { "name": "Jane Doe", "age": 20 }
}
在上面的例子中,ctx._source引用将要更新的当前源文档。
Elasticsearch提供了更新给定查询条件的多个文档的能力(比如SQL update - where语句)。请看docs-update-by-query API
删除文档
删除文档相当简单。这个例子展示了如何删除ID为2的前一个客户:
DELETE /customer/_doc/2?pretty
请参阅_delete_by_query API来删除与特定查询匹配的所有文档。值得注意的是,删除整个索引比使用delete By Query API删除所有文档要有效得多。
批处理
除了能够索引、更新和删除单个文档之外,Elasticsearch还提供了使用_bulk API批量执行上述操作的能力。此功能非常重要,因为它提供了一种非常有效的机制,可以在尽可能少的网络往返的情况下尽可能快地执行多个操作。
作为一个简单的例子,下面的调用在一个批量操作中索引两个文档(ID 1 - John Doe和ID 2 - Jane Doe):
POST /customer/_bulk?pretty
{"index":{"_id":"1"}}
{"name": "John Doe" }
{"index":{"_id":"2"}}
{"name": "Jane Doe" }
本例更新第一个文档(ID为1),然后在一次批量操作中删除第二个文档(ID为2):
POST /customer/_bulk?pretty
{"update":{"_id":"1"}}
{"doc": { "name": "John Doe becomes Jane Doe" } }
{"delete":{"_id":"2"}}
请注意,对于delete操作,它之后没有对应的源文档,因为删除操作只需要删除文档的ID。
批量API不会因为某个操作失败而失败。如果一个操作由于某种原因失败,它将在失败之后继续处理其余的操作。当bulk API返回时,它将为每个操作提供一个状态(与发送操作的顺序相同),以便检查某个特定操作是否失败。
探索你的数据
样本数据集
现在我们已经了解了基本知识,让我们尝试使用更真实的数据集。我准备了一个虚构的JSON客户银行账户信息文档示例。每个文档都有以下模式:
{
"account_number": 0,
"balance": 16623,
"firstname": "Bradshaw",
"lastname": "Mckenzie",
"age": 29,
"gender": "F",
"address": "244 Columbus Place",
"employer": "Euron",
"email": "bradshawmckenzie@euron.com",
"city": "Hobucken",
"state": "CO"
}
出于好奇,该数据是使用www.json- generator.com/生成的,因此请忽略数据的实际值和语义,因为它们都是随机生成的。
加载示例数据集
您可以从 here下载示例数据集(accounts.json).。将其解压缩到当前目录,并将其加载到集群中,如下所示:
curl -H "Content-Type: application/json" -XPOST "localhost:9200/bank/_bulk?pretty&refresh" --data-binary "@accounts.json"
curl "localhost:9200/_cat/indices?v"
reeponse:
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size
yellow open bank l7sSYV2cQXmu6_4rJWVIww 5 1 1000 0 128.6kb 128.6kb
这意味着我们刚刚成功地将索引的1000个文档批量存储到银行索引中。
搜索API
现在让我们从一些简单的搜索开始。运行搜索有两种基本方法:一种是通过REST请求URI发送搜索参数,另一种是通过REST请求体发送搜索参数。请求体方法允许您更富表现力,还可以以更可读的JSON格式定义搜索。我们将尝试请求URI方法的一个示例,但是在本教程的其余部分中,我们将只使用请求体方法。
用于搜索的REST API可以从_search端点访问。这个例子返回银行索引中的所有文档:
GET /bank/_search?q=*&sort=account_number:asc&pretty
让我们首先分析一下搜索调用。我们正在银行索引中搜索(_search endpoint), q=*参数指示Elasticsearch匹配索引中的所有文档。sort=account_number:asc参数指示使用每个文档的account_number字段按升序对结果排序。同样,pretty参数只告诉Elasticsearch返回打印得很漂亮的JSON结果。
{
"took" : 63,
"timed_out" : false,
"_shards" : {
"total" : 5,
"successful" : 5,
"skipped" : 0,
"failed" : 0
},
"hits" : {
"total" : {
"value": 1000,
"relation": "eq"
},
"max_score" : null,
"hits" : [ {
"_index" : "bank",
"_type" : "_doc",
"_id" : "0",
"sort": [0],
"_score" : null,
"_source" : {"account_number":0,"balance":16623,"firstname":"Bradshaw","lastname":"Mckenzie","age":29,"gender":"F","address":"244 Columbus Place","employer":"Euron","email":"bradshawmckenzie@euron.com","city":"Hobucken","state":"CO"}
}, {
"_index" : "bank",
"_type" : "_doc",
"_id" : "1",
"sort": [1],
"_score" : null,
"_source" : {"account_number":1,"balance":39225,"firstname":"Amber","lastname":"Duke","age":32,"gender":"M","address":"880 Holmes Lane","employer":"Pyrami","email":"amberduke@pyrami.com","city":"Brogan","state":"IL"}
}, ...
]
}
}
关于回应,我们看到以下部分:
took - Elasticsearch执行搜索的时间(以毫秒为单位)
timed_out - 告诉我们搜索是否超时
_shards - 告诉我们搜索了多少碎片,以及成功/失败搜索碎片的计数
hits - 搜索结果
hits.total - 包含与搜索条件匹配的文档总数相关的信息的对象
hits.total.value - 总命中数的值(必须在hit .total. relationship上下文中解释)。
hits.total.relation - hits.total。value准确的命中次数是多少,在这种情况下它等于“eq”或总命中次数的下界(大于或等于),在这种情况下它等于gte。
hits.hits - 实际的搜索结果数组(默认为前10个文档)
hits.sort - 每个结果的排序键的排序值(如果按分数排序,则丢失)
hits._score 和 max_score - 暂时忽略这些字段
命中的准确性。total由请求参数track_total_hits控制,当设置为true时,请求将精确地跟踪总命中(“relationship”:“eq”)。默认值为10,000,这意味着总命中数可以精确地跟踪到10,000个文档。通过显式地将track_total_hits设置为true,可以强制进行准确的计数。有关详细信息,请参阅request body文档。
这里是与上面相同的搜索,使用的替代请求体方法:
GET /bank/_search
{
"query": { "match_all": {} },
"sort": [
{ "account_number": "asc" }
]
}
这里的不同之处在于,我们没有在URI中传递q=*,而是向_search API提供了json风格的查询请求体。我们将在下一节中讨论这个JSON查询。
重要的是要了解,一旦您获得了搜索结果,Elasticsearch就会完全处理请求,并且不会维护任何类型的服务器端资源,也不会在结果中打开游标。这是许多其他平台如SQL形成鲜明对比,你最初可能得到部分的子集查询结果预先然后不断返回到服务器,如果你想获取(或页面)其余的结果使用某种状态的服务器端游标。
引入查询语言
Elasticsearch提供了一种json风格的特定于域的语言,您可以使用它来执行查询。这称为查询DSL。查询语言非常全面,乍一看可能有些吓人,但实际上学习它的最佳方法是从几个基本示例开始。
回到上一个例子,我们执行了这个查询:
GET /bank/_search
{
"query": { "match_all": {} }
}
通过分析上面的内容,查询部分告诉我们查询定义是什么,match_all部分只是我们想要运行的查询类型。match_all查询只是搜索指定索引中的所有文档。
除了查询参数,我们还可以传递其他参数来影响搜索结果。在上面我们传入sort的例子中,这里我们传入size:
GET /bank/_search
{
"query": { "match_all": {} },
"size": 1
}
注意,如果没有指定大小,则默认为10。
这个例子执行match_all并返回文档10到19:
GET /bank/_search
{
"query": { "match_all": {} },
"from": 10,
"size": 10
}
from参数(基于0)指定从哪个文档索引开始,size参数指定从from参数开始返回多少文档。该特性在实现搜索结果分页时非常有用。注意,如果没有指定from,则默认值为0。
本例执行match_all操作,并按帐户余额降序对结果进行排序,并返回前10个(默认大小)文档。
GET /bank/_search
{
"query": { "match_all": {} },
"sort": { "balance": { "order": "desc" } }
}
执行搜索
现在我们已经看到了一些基本的搜索参数,让我们深入研究查询DSL。让我们首先看看返回的文档字段。默认情况下,完整的JSON文档作为所有搜索的一部分返回。这被称为source (search hits中的_source字段)。如果我们不希望返回整个源文档,我们可以只从源中请求返回几个字段。
这个例子展示了如何从搜索中返回两个字段account_number和balance(在_source中):
GET /bank/_search
{
"query": { "match_all": {} },
"_source": ["account_number", "balance"]
}
注意,上面的示例只减少了_source字段。它仍然只返回一个名为_source的字段,但是其中只包含account_number和balance字段。
如果您来自SQL背景,那么上面的内容在概念上与SQL SELECT from field list有些类似。
现在让我们进入查询部分。在前面,我们已经了解了如何使用match_all查询来匹配所有文档。现在让我们引入一个名为match查询的新查询,它可以被看作是基本的字段搜索查询(即针对特定字段或字段集进行的搜索)。
这个例子返回编号为20的帐户:
GET /bank/_search
{
"query": { "match": { "account_number": 20 } }
}
这个例子返回地址中包含术语“mill”的所有帐户:
GET /bank/_search
{
"query": { "match": { "address": "mill lane" } }
}
这个例子是match (match_phrase)的一个变体,它返回地址中包含短语“mill lane”的所有帐户:
GET /bank/_search
{
"query": { "match_phrase": { "address": "mill lane" } }
}
现在让我们介绍bool查询。bool查询允许我们使用布尔逻辑将较小的查询组合成较大的查询。
这个例子包含两个匹配查询,返回地址中包含“mill”和“lane”的所有帐户:
GET /bank/_search
{
"query": {
"bool": {
"must": [
{ "match": { "address": "mill" } },
{ "match": { "address": "lane" } }
]
}
}
}
在上面的示例中,bool must子句指定了所有必须为true的查询,以便将文档视为匹配。
相反,这个例子包含两个匹配查询,并返回地址中包含“mill”或“lane”的所有帐户:
GET /bank/_search
{
"query": {
"bool": {
"should": [
{ "match": { "address": "mill" } },
{ "match": { "address": "lane" } }
]
}
}
}
在上面的示例中,bool should子句指定了一个查询列表,其中任何一个查询必须为真,才能将文档视为匹配。
这个例子包含两个匹配查询,返回地址中既不包含“mill”也不包含“lane”的所有帐户:
GET /bank/_search
{
"query": {
"bool": {
"must_not": [
{ "match": { "address": "mill" } },
{ "match": { "address": "lane" } }
]
}
}
}
在上面的例子中,bool must_not子句指定了一个查询列表,其中没有一个查询必须为真,才能将文档视为匹配。
我们可以在bool查询中同时组合must、should和must_not子句。此外,我们可以在这些bool子句中组合bool查询,以模拟任何复杂的多级布尔逻辑。
这个例子返回所有40岁但不居住在ID(aho)的人的账户:
GET /bank/_search
{
"query": {
"bool": {
"must": [
{ "match": { "age": "40" } }
],
"must_not": [
{ "match": { "state": "ID" } }
]
}
}
}
执行过滤器
在上一节中,我们跳过了一个名为document score(搜索结果中的_score字段)的小细节。分数是一个数值,它是衡量文档与我们指定的搜索查询匹配程度的一个相对指标。分数越高,文档越相关,分数越低,文档越不相关。
但是查询并不总是需要生成分数,特别是当它们只用于“过滤”文档集时。Elasticsearch检测这些情况并自动优化查询执行,以避免计算无用的分数。
我们在上一节中介绍的bool查询还支持filter子句,它允许我们使用查询来限制将由其他子句匹配的文档,而不改变计算分数的方式。作为一个示例,让我们介绍范围查询,它允许我们根据一系列值筛选文档。这通常用于数字或日期筛选。
本例使用bool查询返回余额在20000到30000之间的所有帐户,包括余额。换句话说,我们希望找到余额大于或等于20000,小于或等于30000的账户。
GET /bank/_search
{
"query": {
"bool": {
"must": { "match_all": {} },
"filter": {
"range": {
"balance": {
"gte": 20000,
"lte": 30000
}
}
}
}
}
}
通过分析上面的内容,bool查询包含一个match_all查询(查询部分)和一个range查询(筛选部分)。我们可以将任何其他查询替换到查询和筛选器部分中。在上面的例子中,范围查询非常有意义,因为落入范围的文档都“相等”匹配,即在美国,没有任何文件比其他文件更相关。
除了match_all、match、bool和range查询之外,还有许多其他可用的查询类型,我们在这里不深入讨论它们。既然我们已经对它们的工作原理有了基本的了解,那么在学习和试验其他查询类型时应用这些知识应该不会太难。
执行聚合
聚合提供了对数据进行分组和提取统计信息的能力。考虑聚合最简单的方法是大致将其等同于SQL GROUP by和SQL聚合函数。在Elasticsearch中,您可以执行返回命中的搜索,同时在一个响应中返回与所有命中分离的聚合结果。这是非常强大和高效的,因为您可以运行查询和多个聚合,并一次性获得这两个(或任何一个)操作的结果,从而避免使用简洁和简化的API进行网络往返。
首先,这个示例按状态对所有帐户进行分组,然后返回按count降序排列的前10个(默认)状态(也是默认):
GET /bank/_search
{
"size": 0,
"aggs": {
"group_by_state": {
"terms": {
"field": "state.keyword"
}
}
}
}
在SQL中,上述聚合在概念上与:
SELECT state, COUNT(*) FROM bank GROUP BY state ORDER BY COUNT(*) DESC LIMIT 10;
及回应(部分显示):
{
"took": 29,
"timed_out": false,
"_shards": {
"total": 5,
"successful": 5,
"skipped" : 0,
"failed": 0
},
"hits" : {
"total" : {
"value": 1000,
"relation": "eq"
},
"max_score" : null,
"hits" : [ ]
},
"aggregations" : {
"group_by_state" : {
"doc_count_error_upper_bound": 20,
"sum_other_doc_count": 770,
"buckets" : [ {
"key" : "ID",
"doc_count" : 27
}, {
"key" : "TX",
"doc_count" : 27
}, {
"key" : "AL",
"doc_count" : 25
}, {
"key" : "MD",
"doc_count" : 25
}, {
"key" : "TN",
"doc_count" : 23
}, {
"key" : "MA",
"doc_count" : 21
}, {
"key" : "NC",
"doc_count" : 21
}, {
"key" : "ND",
"doc_count" : 21
}, {
"key" : "ME",
"doc_count" : 20
}, {
"key" : "MO",
"doc_count" : 20
} ]
}
}
}
我们可以看到ID(爱达荷州)有27个帐户,其次是TX(德克萨斯州)的27个帐户,然后是AL(阿拉巴马州)的25个帐户,依此类推。
注意,我们将size=0设置为不显示搜索结果,因为我们只想看到响应中的聚合结果。
基于前面的汇总,本示例按状态计算平均帐户余额(同样只针对按count降序排列的前10个状态):
GET /bank/_search
{
"size": 0,
"aggs": {
"group_by_state": {
"terms": {
"field": "state.keyword"
},
"aggs": {
"average_balance": {
"avg": {
"field": "balance"
}
}
}
}
}
}
注意,我们如何将average_balance聚合嵌套在group_by_state聚合中。这是所有聚合的常见模式。您可以在聚合中任意嵌套聚合,以从数据中提取所需的旋转摘要。
基于之前的聚合,我们现在按降序对平均余额排序:
GET /bank/_search
{
"size": 0,
"aggs": {
"group_by_state": {
"terms": {
"field": "state.keyword",
"order": {
"average_balance": "desc"
}
},
"aggs": {
"average_balance": {
"avg": {
"field": "balance"
}
}
}
}
}
}
这个例子展示了我们如何按照年龄等级(20-29岁,30-39岁,40-49岁)分组,然后按性别分组,最后得到每个年龄等级,每个性别的平均账户余额:
GET /bank/_search
{
"size": 0,
"aggs": {
"group_by_age": {
"range": {
"field": "age",
"ranges": [
{
"from": 20,
"to": 30
},
{
"from": 30,
"to": 40
},
{
"from": 40,
"to": 50
}
]
},
"aggs": {
"group_by_gender": {
"terms": {
"field": "gender.keyword"
},
"aggs": {
"average_balance": {
"avg": {
"field": "balance"
}
}
}
}
}
}
}
}
还有许多其他聚合功能,我们在这里不会详细讨论。如果您想做进一步的实验,那么aggregations reference guide是一个很好的起点。
结论
elasticsearch既是一个简单的产品,也是一个复杂的产品。到目前为止,我们已经了解了它是什么、如何查看它的内部以及如何使用一些REST api来使用它。希望本教程能让您更好地理解Elasticsearch是什么,更重要的是,它激发了您进一步试验它的其他优秀特性!