(二)elasticsearch7.14更新和改进

跨集群更新和搜索

在7.14中，我们向EQL添加了跨集群搜索支持。跨集群搜索允许您跨一个或多个远程集群运行EQL搜索。请参见跨集群运行EQL搜索。

异步SQL搜索

我们在Elasticsearch SQL中增加了对异步搜索的支持。跨大型数据集或冻结数据的搜索可能需要更长的时间才能返回同步结果。Async SQL搜索允许您在后台运行这些搜索。请参见运行异步SQL搜索。

转换：支持顶级指标

转换现在能够支持顶级指标聚合。这在按多个字段分组时提高了性能。如果这些字段是描述性的，并且具有相同的基数(例如，客户的姓和名描述了他们的customer_id)，那么使用顶级指标可以显著减少聚合需要完成的工作。如果配置顶部值或最后值，这也是一个可用性改进，这在以前需要一个脚本化的度量。可以从以下五个关键维度去查找相关关键指标

异常检测：重置作业API

重置作业API使重新开始异常检测作业变得更容易，使作业在创建后立即恢复到它的状态——相当于删除它并重新创建它，但不需要记住配置。它还简化了支持，因为用户可以通过简单的点击来重置他们的工作。

新字段类型match_only_text

Match_only_text是一种新的优化了空间的文本变体，它禁止记分，并且在需要位置的查询中执行得更慢。它最适合于索引日志消息。

更节省内存的复合聚合

关键字字段上的复合聚合不再使用全局序数，对于高基数字段，这可能会使用大量堆内存作为字段数据缓存的一部分。

迁移数据新路由API

.14引入了向数据层路由API的迁移。您可以使用API将使用基于属性的分配过滤器的索引和ILM策略切换到使用节点角色的数据层。这使得ILM可以在阶段转换期间自动在层之间移动数据流索引。数据层还允许访问其他ILM特性，如部分挂载索引和冻结层

注：ElasticSearch在 6.7 版本推出的索引生命周期管理（index lifecycle management，简称ILM），生命周期把索引分为四个阶段，Hot，Warm，Cold，和 Delete。
hot：索引可写入，也可查询，也就是我们通常说的热数据。
warm：索引通常不会被写入，但仍然会被查询。
cold ：索引不再被更新，并且很少被查询。这些信息仍然需要可搜索，但如果查询速度较慢也没关系。
delete： 索引不再需要，可以安全地删除。

新术语枚举API

新的术语枚举API允许您发现匹配部分字符串的索引术语。可以使用API实现搜索自动完成。

GeoIP处理器的自动数据库更新

GeoIP处理器使用Maxmind GeoLite2数据库提供有关IP地址地理位置的数据。当IP地址被重用时，这些数据会经常改变。在7.14中，我们引入了一个自动更新这些数据库的服务，使它们的信息尽可能准确。服务默认开启，但可以调整其操作。可以查看GeoIP处理器相关章节