elasticsearch学习DSL查询

最新推荐文章于 2024-06-12 18:30:00 发布
最新推荐文章于 2024-06-12 18:30:00 发布
阅读量1k 收藏
点赞数
分类专栏: ES 文章标签: restful elasticsearch 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011649691/article/details/121498701
版权

一、普通查询

{
  "query": {
    "bool": {
      "must": [
        {
          "wildcard": {
            "interface_name": "*CacheRequestBodyFilter*"
          }
        },
        {
          "match_phrase_prefix": {
            "message": "接口访问"
          }
        },
        {
          "range": {
            "@timestamp": {
              "gte": "2021-10-25 07:14:05",
              "lte": "now",
              "format": "yyyy-MM-dd HH:mm:ss",
              "time_zone": "+8"
            }
          }
        }
      ]
    }
  },
  "size": 100
}

对应type为text类型的字段,ES会对字段数据进行分词。

重点关注:

  • term:精确查找,通常用于匹配价格、ID、用户名等,类似于sql中的=
  • terms:多值精确查找,类似于sql中的in
  • match:文本匹配,先将查找内容进行分词,再使用分词结果进行匹配
  • match_phrase:短语匹配,跟match的不同在于,它严格按照分词顺序进行匹配
  • match_phrase_prefix:短语匹配,跟match_phrase的不同在于,它在match_phrase的基础上用分词的最后一个进行前缀匹配
  • multi_match:允许在多个字段上match同一个查询语句
  • wildcard:通配符查询
  • fuzzy:容差查询,他有一定程度上的智能,比如查询JVA可能会返回JAVA
  • range:用于范围查询
  • regexp:正则查询
  • exists:返回字段不为null的记录

2、runtime_mappings

可以在mapping或者DSL查询体中构建runtime_mappings,动态计算运行时字段,我们重点看DSL查询runtime_mappings

{
  "runtime_mappings": {
    "day_of_week": {
      "type": "keyword",
      "script": {
        "source": "emit(doc['@timestamp'].value.dayOfWeekEnum.getDisplayName(TextStyle.FULL, Locale.ROOT))"
      }
    }
  },
  "aggs": {
    "day_of_week": {
      "terms": {
        "field": "day_of_week"
      }
    }
  }
}

runtime_mappings可以在runtime_mappings字段的基础上再次构建。mapping中的runtime_mappings可以在mapping创建后添加,并且可以覆盖同名properties。

二、聚合查询

2.1、指标聚合,可以理解为sql中的聚合函数

重点关注:

  • avg:均值
  • max:最大值
  • min:最小值
  • value_count:计数
  • cardinality:去重计数,不精确
  • sum:求和
  • stats:是minmaxsumcount和avg的合集

例子:

格式:
{
    "aggs":{
        "自定义的aggs名字":{
            "指标聚合类型":{
                "field":"要聚合的字段"
            }
        }
    }
}



查询:
{
  "aggs": {
    "grades_stats": { "stats": { "field": "grade" } }
  }
}
返回:
{
  ...

  "aggregations": {
    "grades_stats": {
      "count": 2,
      "min": 50.0,
      "max": 100.0,
      "avg": 75.0,
      "sum": 150.0
    }
  }
}

2.2、桶聚合

重点关注:

size:(默认是10),如果数量超过1000,请使用composite桶聚合。
order:对返回的结果排序,默认是"_count":"desc"
min_doc_count:只返回匹配超过配置数量的匹配项
include:可以通配符".*sport.*",也可以是精确值的数组[ "mazda", "honda" ],表示字段包含include的项的才会被统计。include还可以设置对字段值进行分区,例如要根据登录时间过期一批用户缓存,如果数据量太大,可以根据cardinality来统计用户数(例如有100个),设置num_partitions值为10,那么每个分区应该有10个用户,设置size为5,那么就会返回每个分区的前5个用户
exclude:可以通配符,也可以是精确值的数组,表示字段包含include的项的不会被统计
missing:定义应如何处理缺少值的文档。默认情况下,它们将被忽略,但也可以将它们视为具有值

例:
{
   "size": 0,
   "aggs": {
      "expired_sessions": {
         "terms": {
            "field": "account_id",
            "include": {
               "partition": 0,
               "num_partitions": 20
            },
            "exclude": [ "xxx", "aaa" ]
            "size": 10000,
            "order": {
               "last_access": "asc"
            },
            "missing": "0",
            "value_type": "keyword"
         },
         "aggs": {
            "last_access": {
               "max": {
                  "field": "access_date"
               }
            }
         }
      }
   }
}
  • range:将一个范围的数值分段统计,from,to是包前不包后,例如价格:
keyed:和ranges里的key联合使用,自定义key值

请求:
{
  "aggs": {
    "price_ranges": {
      "range": {
        "field": "price",
        "keyed": true,
        "ranges": [
          { "key": "cheap", "to": 100 },
          { "key": "average", "from": 100, "to": 200 },
          { "key": "expensive", "from": 200 }
        ]
      }
    }
  }
}

返回:
{
  ...
  "aggregations": {
    "price_ranges": {
      "buckets": {
        "cheap": {
          "to": 100.0,
          "doc_count": 2
        },
        "average": {
          "from": 100.0,
          "to": 200.0,
          "doc_count": 2
        },
        "expensive": {
          "from": 200.0,
          "doc_count": 3
        }
      }
    }
  }
}

可以对runtime_mappings的动态字段进行统计
{
  "runtime_mappings": {
    "price.euros": {
      "type": "double",
      "script": {
        "source": """
          emit(doc['price'].value * params.conversion_rate)
        """,
        "params": {
          "conversion_rate": 0.835526591
        }
      }
    }
  },
  "aggs": {
    "price_ranges": {
      "range": {
        "field": "price.euros",
        "ranges": [
          { "to": 100 },
          { "from": 100, "to": 200 },
          { "from": 200 }
        ]
      }
    }
  }
}

可以对histogram直方图数据进行range统计
  • date_range:对于日期的range统计
https://www.elastic.co/guide/en/elasticsearch/reference/current/search-aggregations-bucket-daterange-aggregation.html
有需要可以官网查询format的格式和单位

请求:
{
  "aggs": {
    "range": {
      "date_range": {
        "field": "date",
        "format": "MM-yyy",
        "time_zone": "UTC" //这个一般不写
        "ranges": [
          { "from": "01-2015", "to": "03-2015", "key": "quarter_01" },
          { "from": "03-2015", "to": "06-2015", "key": "quarter_02" }
        ],
        "keyed": true
      }
    }
  }
}

返回:
{
  ...
  "aggregations": {
    "range": {
      "buckets": {
        "quarter_01": {
          "from": 1.4200704E12,
          "from_as_string": "01-2015",
          "to": 1.425168E12,
          "to_as_string": "03-2015",
          "doc_count": 5
        },
        "quarter_02": {
          "from": 1.425168E12,
          "from_as_string": "03-2015",
          "to": 1.4331168E12,
          "to_as_string": "06-2015",
          "doc_count": 2
        }
      }
    }
  }
}
  • filters:筛选满足条件的记录放入桶中并统计
other_bucket_key:将不符合filters的记录都丢到这个桶中,也可以不要这个属性,返回结果就只统计符合filter的记录
请求:
{
  "size": 0,
  "aggs" : {
    "messages" : {
      "filters" : {
        "other_bucket_key": "other_messages",
        "filters" : {
          "errors" :   { "match" : { "body" : "error"   }},
          "warnings" : { "match" : { "body" : "warning" }}
        }
      }
    }
  }
}
返回:
{
  "took": 3,
  "timed_out": false,
  "_shards": ...,
  "hits": ...,
  "aggregations": {
    "messages": {
      "buckets": {
        "errors": {
          "doc_count": 1
        },
        "warnings": {
          "doc_count": 2
        },
        "other_messages": {
          "doc_count": 1
        }
      }
    }
  }
}
  • multi_terms:相当于多个terms联合聚合统计,官方建议在需要联合排序或者是需要前N条记录的情况下用multi_terms,否则可以考虑在构建索引的时候就添加一个联合字段或者是用runtime_mappings定义动态字段(这样可以直接用terms统计),或者使用composite聚合
请求:
{
  "aggs": {
    "genres_and_products": {
      "multi_terms": {
        "terms": [{
          "field": "genre" 
        }, {
          "field": "product"
          "missing": "Product Z"
        }]
      }
    }
  }
}
返回:
{
  ...
  "aggregations" : {
    "genres_and_products" : {
      "doc_count_error_upper_bound" : 0,  
      "sum_other_doc_count" : 0,          
      "buckets" : [                       
        {
          "key" : [                       
            "rock",
            "Product A"
          ],
          "key_as_string" : "rock|Product A",
          "doc_count" : 2
        },
        {
          "key" : [
            "electronic",
            "Product B"
          ],
          "key_as_string" : "electronic|Product B",
          "doc_count" : 1
        },
        {
          "key" : [
            "jazz",
            "Product B"
          ],
          "key_as_string" : "jazz|Product B",
          "doc_count" : 1
        },
        {
          "key" : [
            "rock",
            "Product B"
          ],
          "key_as_string" : "rock|Product B",
          "doc_count" : 1
        }
      ]
    }
  }
}
  • composite:composite聚合成本非常高,要仔细测试后再上生产环境。他与multi_terms的不同可以理解为,composite聚合是multi_terms聚合的翻页版本。
sources:composite的聚合条件都要在sources下,根据sources下数组顺序决定聚合返回键的顺序。sources参数只能是下面4种类型:Terms、Histogram、Date histogram、GeoTile grid。
missing_bucket:默认情况下字段没有值的记录将被忽略,如果这个属性为true,那么没有值的记录也会包含在响应中。
如果想提高composite的查询统计效率可以在mapping中设置index sort,查询的时候遵循类似sql的最左原则,例如:
{
  "settings": {
    "index": {
      "sort.field": [ "username", "timestamp" ],   
      "sort.order": [ "asc", "desc" ]              
    }
  },
  "mappings": {
    "properties": {
      "username": {
        "type": "keyword",
        "doc_values": true
      },
      "timestamp": {
        "type": "date"
      }
    }
  }
}

请求示例如下:
{
  "size": 0,
  "track_total_hits": false,
  "aggs": {
    "my_buckets": {
      "composite": {
        "sources": [
          { "user_name": { "terms": { "field": "user_name", "order": "ase", "missing_bucket": true} } },
          { "date": { "date_histogram": { "field": "timestamp", "calendar_interval": "1d", "order": "desc" } } }
        ]
      }
    }
  }
}
如果要翻页,就要添加size参数并注意响应中的after_key值
{
  "size": 0,
  "track_total_hits": false,
  "aggs": {
    "my_buckets": {
      "composite": {
        "size": 2,
        "sources": [
          { "user_name": { "terms": { "field": "user_name", "order": "ase", "missing_bucket": true} } },
          { "date": { "date_histogram": { "field": "timestamp", "calendar_interval": "1d", "order": "desc" } } }
        ]
      }
    }
  }
}
响应:
{
  ...
  "aggregations": {
    "my_buckets": {
      "after_key": {
        "user_name": "mad max",
        "date": 1494288000000
      },
      "buckets": [
        {
          "key": {
            "user_name": "rocky",
            "date": 1494201600000
          },
          "doc_count": 1
        },
        {
          "key": {
            "user_name": "mad max",
            "date": 1494288000000
          },
          "doc_count": 2
        }
      ]
    }
  }
}
下一次请求就带上after_key值
{
  "size": 0,
  "track_total_hits": false,
  "aggs": {
    "my_buckets": {
      "composite": {
        "size": 2,
        "sources": [
          { "user_name": { "terms": { "field": "user_name", "order": "ase", "missing_bucket": true} } },
          { "date": { "date_histogram": { "field": "timestamp", "calendar_interval": "1d", "order": "desc" } } }
        ],
        "after": { "user_name": "mad max","date": 1494288000000}
      }
    }
  }
}

xiaoniuxqq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
elasticSearch查询语句DSL
06-27
首先,我们将学习DSL的基本结构和语法规则,包括查询、过滤器、聚合和排序等核心概念。通过深入了解DSL的语法,您将能够灵活地组合不同类型的查询条件,以实现精准的数据检索。接下来,我们将探讨DSL的高级特性和...
Elasticsearch 运行时类型 Runtime fields 深入详解
铭毅天下Elasticsearch
09-30 6009
1、实战问题实战业务中,遇到数据导入后,但发现缺少部分必要字段,一般怎么解决?比如:emotion 代表情感值,取值范围为:0-1000。其中:300-700 代表中性;0-300 代表负...
Elasticsearch:使用 runtime fields 探索你的数据
Maisu的博客
12-26 388
考虑要提取字段的大量日志数据。 为数据建立索引非常耗时,并且会占用大量磁盘空间,而你只想探索数据结构而无需预先提交 schema。
理解EsDSL语法(二):聚合
最新发布
糖拌西红柿
06-12 1171
es的聚合语法、aggs,date_histogram聚合
Elasticsearch:使用运行时字段更改机器学习中的 datafeed 数据
Elastic 中国社区官方博客
06-14 798
如果你使用 datafeeds,则可以在分析数据之前使用运行时字段来更改数据。 你可以将一个可选的 runtime_mappings 属性添加到你的 datafeed 中,你可以在其中指定字段类型和脚本来计算自定义表达式,而不会影响你从中检索数据的索引。 如果你的 datafeed 定义了运行时字段,你可以在异常检测作业中使用这些字段。 例如,你可以在一个或多个检测器的分析函数中使用运行时字段。 运行时字段会根据运行时脚本中定义的计算影响搜索性能。...
ElasticsearchRuntime fields 入门, Elastic 的 schema on read 实现 - 7.11 发布
Elastic 中国社区官方博客
02-15 3009
从历史上看,Elasticsearch 依靠 schema on write 的架构来快速搜索数据。现在,我们向 Elasticsearch 添加了 schema on read 架构,以便用户可以灵活地在摄取后更改文档的 schema,还可以生成仅作为搜索查询一部分存在的字段。schema on read 和 schema on write 一起为用户提供了选择,可以根据他们的需求来平衡性能和灵活性。 我们的 schema on read 解决方案是 runtime fields,它们仅在查询时进行评估
es数据防篡改方案通过_version和runtime fields特性来实现
qq_35515283的博客
10-12 1271
es数据防篡改方案通过_version和runtime fields特性来实现,包括对_version和runtime fields的介绍
django-elasticsearch-dsl-drf:将Elasticsearch DSL与Django REST框架集成
02-05
Django Elasticsearch DSL是Django与Elasticsearch之间的一个桥接库,它允许开发者使用DSL来定义Elasticsearch的索引和搜索查询DSL是一种简洁、直观的语法,使得编写复杂的Elasticsearch查询变得容易。通过这个库...
elasticsearch-dsl-py:Elasticsearch的高级Python客户端
02-05
Elasticsearch-DSL-Py提供了丰富的查询和过滤功能。例如,我们可以使用`Q()`对象进行查询: ```python from elasticsearch_dsl import Q result = Book.search().query(Q('match', author='Salinger')) for hit in ...
elasticsearch数据的查询sql
04-13
然而,对于熟悉 SQL 的开发者来说,直接使用 Elasticsearch查询语法(如 JSON-based Query DSL)可能会感到不适应。为了解决这一问题,出现了将 SQL 语法应用于 Elasticsearch 查询的方法,使得传统数据库用户能...
在rust - cch123/elastic-rs中将bool表达式转换为elasticsearch DSL
01-27
在 Rust 开发环境中,`cch123/elastic-rs` 是一个针对 Elasticsearch 的...通过阅读和学习这些源码,你将能够掌握如何使用 Rust 和 ElasticsearchDSL 来构建复杂的查询逻辑,并提升在数据检索和分析方面的能力。
【弄nèng - ElasticsearchDSL入门篇(十一)—— Script 脚本查询
司马缸砸缸了
12-05 1967
文章目录1. `Script Query` 比较大小过滤2. Script Query 数据处理项目推荐 脚本查询,语法跟版本有关,我是用的es是5.2.2 1. Script Query 比较大小过滤 POST schools/classes/_search { "query": { "bool" : { "must" : { ...
ES JAVA API Client 使用方法
qq_35515283的博客
10-25 1484
Java Api Client 属于7.15后的新特性,用起来感觉比原来HighLevelRestClient要简化很多,而且更接近dsl语句。 我这里是某个特殊场景要用,资料不太多,只能自己摸索出的一点JAVA API Client使用方法,用作启发,作一些常用的操作应该没啥问题。
Elasticsearch使用篇 - 组合聚合
The Secret
03-12 1395
本文介绍Elasticsearch分桶聚合中的组合聚合(composite aggregation)。
elasticsearch 将时间类型为时间戳保存格式的时间字段格式化返回
GC
08-01 1528
【代码】elasticsearch 将时间类型为时间戳保存格式的时间字段格式化返回。
ElasticsearchElasticsearch SQL介绍及实例(二)
Elastic 中国社区官方博客
04-23 3969
在之前的文章“ElasticsearchElasticsearch SQL介绍及实例”里,我们简要介绍了新的Elasticsearch SQL功能以及_translate API。 这篇特定的文章通过探索更复杂的功能来继续该系列。如果你还没准备好自己的数据,请先阅读我前面指出来的文章。 复杂的例子和Elasticsearch的优点 Grouping Elasticsearch的聚合框......
边学边实战系列(五):ElasticSearch DSL 查询原理与实践
民工哥的博客
05-28 859
点关注公众号,回复“1024”获取2TB学习资源!前面介绍了 ElasticSearch 基础概念、生态与应用场景、技术原理、安装和基础使用、索引管理相关的知识点。今天我将详细的为大家介绍 ElasticSearch DSL 查询相关知识,希望大家能够从中收获多多!如有帮助,请点在看、转发支持一波!!!DSL 查询之复合查询查询中会有多种条件组合的查询,在 ElasticSearch 中叫复合查...
elasticsearch中简单的使用script_fields
huan的学习记录
01-31 2741
在我们使用es时,有些时候需要动态返回一些字段,而这些字段是通过动态计算得出的,那么此时该如何操作呢? 比如:我们索引中有一个sex字段,保存的是1或0,而在页面上需要展示男或女,那么这个时候就可以使用script_fields来解决。可能有些人说,我通过后台进行格式化一下不就行了吗,但是假设我们需要在kibana等可视化工具上展示呢?
es dsl查询学习
07-28
你对 Elasticsearch DSL 查询感兴趣,是吗?Elasticsearch DSLElasticsearch 中用于构建复杂查询的领域特定语言。...希望这能帮助你开始学习 Elasticsearch DSL 查询!如果你有任何更具体的问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值