ES聚合,SQL查询

已于 2024-08-27 14:35:17 修改
阅读量372 收藏 1
点赞数 1
分类专栏: 学习java之路 文章标签: elasticsearch
于 2024-08-22 15:44:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39565641/article/details/141429758
版权

SQL查询


-- 多索引统计查询

POST /_sql?format=txt
{
  "query": """
    SELECT COUNT(*) AS total,COUNT( rule_name) AS VALUE,rule_name AS NAME FROM "rule_log*,siem_log*" GROUP BY rule_name
    """
}

--  count 统计查询

POST /_sql?format=txt
{
  "query": """
    SELECT rule_name,count(1) FROM "rule_log*" GROUP BY rule_name
    """
}

-- 条件统计查询

POST /_sql?format=txt
{
  "query": """
    SELECT rule_name,log_model,COUNT(level.keyword = '严重' OR NULL) AS critical FROM rule_log GROUP BY rule_name,log_model
  """
}

-- list格式数据条件查询

POST /_sql?format=txt
{
  "query": """
   SELECT logSourceName,logSourceIp,logSourceCitypeName,count(1) FROM "siem-event-2024.08.21" where depart_uuid in('element1','element333')   GROUP BY logSourceName,logSourceIp,logSourceCitypeName 
    """
}

-- 时间格式化查询

POST /_sql?format=txt
{
  "query": """
    SELECT DATETIME_FORMAT("@timestamp",'yyyy-MM-dd') AS format_time,count(1) FROM "windows-log*" group by DATETIME_FORMAT("@timestamp",'yyyy-MM-dd') order by format_time desc 
    """
}

聚合查询

ES常用的桶聚合如下:

Terms聚合 - 类似SQL的group by,根据字段唯一值分组
Histogram聚合 - 根据数值间隔分组,例如: 价格按100间隔分组,0、100、200、300等等
Date histogram聚合 - 根据时间间隔分组,例如:按月、按天、按小时分组
Range聚合 - 按数值范围分组
Elasticsearch 指标聚合(metrics)-函数
ES指标聚合,就是类似SQL的统计函数,指标聚合可以单独使用,也可以跟桶聚合一起使用。

常用的统计函数如下:

Value Count - 类似sql的count函数,统计总数
Cardinality - 类似SQL的count(DISTINCT 字段), 统计不重复的数据总数
Avg - 求平均值
Sum - 求和
Max - 求最大值
Min - 求最小值

POST rule_log/_search
{
 "size": 1, 
 "aggs": {
   "聚合名称": {
     "terms": {
       "field": "rule_name.keyword",
       "size": 10,
       "order": {
         "_key": "desc"
       }
       
     },
     
     "aggs" : {
        "type_count" : { 
            "terms": { 
                "field" : "level.keyword" 
            }
            
        }
      }
   }
 }
}

POST  windows-log-*/_search
{
   "size": 1, 
   "query": {
     "bool": {
       "must": [
         {"range": {
           "@timestamp": {
             "gte": "2024-08-15T16:51:38",
             "lte": "2024-08-15T17:21:38"
           }
         }}
       ]
     }
   }, 
   "aggs": {
     "聚合名称": {
       "terms": {
         "field": "host.ip",
         "size": 10,
         "order": {
           "_key": "desc"
         }
         
       },
       
       "aggs" : {
          "type_count" : { 
              "terms": { 
                  "field" : "model_name" 
              }
              
          }
        }
     }
   }
}

GET /siem_log/_search
{
  "size": 0,
  "query": {
    "bool": {
      "filter": [
        {}
      ]
    }
  }, 
  "aggs": {
    "date_histogram_aggs": {
      "date_histogram": {
        "field": "createTime",
        "interval": "day",
        "format": "yyyy-MM-dd",
        "order": {
          "_key": "desc"
        }
      }
    }
  }
}

POST siem_log/_search
{
    "size": 0, 
    "aggs" : {
        "login_time" : { 
            "date_histogram": { 
                "field" : "createTime" ,
                "format": "yyyy-MM-dd",
                "fixed_interval": "1d",
                "offset": -28800000,
                "order": {
                  "_key": "asc"
                },
                "keyed": false,
                "min_doc_count": 0,
                "extended_bounds": {   
                  "min": "now/d", 
                  "max": "now/d"
                }

            }
            
        }
      
        
    }
}

GET /sales/_search?size=0
{
  "aggs": {
    "types_count": { // 聚合查询的名字,随便取个名字
      "value_count": { // 聚合类型为:value_count
        "field": "type" // 计算type这个字段值的总数
      }
    }
  }
}
 
等价SQLselect count(type) from sales

java API(es sql 查询放方式)

package com.suninfo.common.divreport.esreport.execute;

import cn.hutool.db.sql.SqlBuilder;
import co.elastic.clients.elasticsearch.ElasticsearchClient;
import co.elastic.clients.elasticsearch.sql.QueryResponse;
import com.suninfo.common.divreport.chart.SChart;
import com.suninfo.common.divreport.esreport.esmapper.ESMapper;
import com.suninfo.common.divreport.esreport.esquery.ESQuery;
import com.suninfo.common.divreport.esreport.factory.ESMapperFactory;
import com.suninfo.common.divreport.report.QuerySql;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.ObjectUtils;

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import java.util.Set;

@Slf4j
public class ElasticExecute implements ESExecute {

    private ESQuery esQuery;

	private ElasticsearchClient esClient;

    public ElasticExecute(ESQuery esQuery, ElasticsearchClient esClient) {
        this.esQuery = esQuery;
        this.esClient = esClient;
    }

	@Override
	public List<SChart> execute() {
		List<QuerySql> esQuerySqlList = esQuery.getEsSqlList();
		List<SChart> sChartList = new ArrayList<>();

		for (QuerySql querySql : esQuerySqlList) {
			SqlBuilder sqlBuilder = querySql.getSqlBuilder();
			// 上下文中设置当前的querySql
			esQuery.getQueryContent().setCurrentQuerySql(querySql);

			log.error("sql:{} {}", sqlBuilder.build(), sqlBuilder.getParamValues());
			String sql = getExecuteSql(sqlBuilder);
			QueryResponse queryResponse;
			try {
				queryResponse = esClient.sql().query(e -> e.query(sql));
			} catch (IOException e) {
				throw new RuntimeException(e);
			}
			ESMapper sMapper = ESMapperFactory.getSMapper(esQuery.getQueryContent());
			SChart sChart = sMapper.toChart(queryResponse);
			sChartList.add(sChart);
		}
		return sChartList;
	}

	private String getExecuteSql(SqlBuilder sqlBuilder){
		String sql = sqlBuilder.build();
		if (sql.contains("?")) {
			for (Object paramValue : sqlBuilder.getParamValues()) {
				if (sql.indexOf("?") != -1) {
					sql = sql.substring(0, sql.indexOf("?")) + "\'" + paramValue + "\'" + sql.substring(sql.indexOf("?") + 1, sql.length());
				}
			}
		}
		return sql;
	}



}


package org.jeecg.common.es;

import co.elastic.clients.elasticsearch._types.FieldValue;
import co.elastic.clients.elasticsearch._types.query_dsl.*;
import org.jeecg.common.system.vo.SysPermissionDataRuleModel;
import co.elastic.clients.json.JsonData;

import java.util.ArrayList;
import java.util.List;
import java.util.Map;

/**
 * ES权限控制工具类
 * Author: WangLiang
 * Date: 2023/10/7 11:12
 */
public class ESDataPermissionUtil {


    /**
     * 根据提供的条件map和构造的query拼接过滤条件
     *
     * @param dataRoleMap
     * @param boolQuery
     */
    public static void addFilterRule(Map<String, List<SysPermissionDataRuleModel>> dataRoleMap, BoolQuery.Builder boolQuery) {
        // 过滤数据权限
        // 对拿到的数据进行分组,每一组之间用 and 分割,组内用 or 分割;
        // 例: where (condition1 = x or condition2 < x or condition3 < x) and (condition4 = x or condition5 = x)

        for (Map.Entry<String, List<SysPermissionDataRuleModel>> entry : dataRoleMap.entrySet()) {
            BoolQuery.Builder boolGroupQuery = new BoolQuery.Builder();
            List<SysPermissionDataRuleModel> dataList = entry.getValue();
            List<Query> queryList = new ArrayList<>();
            for (SysPermissionDataRuleModel model : dataList) {
                queryList.add(ruleConvertFilter(model));
            }
            boolGroupQuery.should(queryList);
            boolQuery.filter(f->f.bool(boolGroupQuery.build()));
        }
    }

    /**
     * 根据系统存入的数据过滤规则转换为ES的过滤规则
     * @param model 系统model
     * @return ES的query对象
     */
    private static Query ruleConvertFilter(SysPermissionDataRuleModel model) {
        String condition = model.getRuleConditions();

        Query.Builder query = new Query.Builder();
        if (condition.equals("=")) {
            query.term(t -> t.field(model.getRuleColumn()).value(model.getRuleColumnvalue()));
        } else if (condition.equals(">")) {
            query.range(r -> r.field(model.getRuleColumn()).gt(JsonData.of(model.getRuleColumnvalue())));
        } else if (condition.equals(">=")) {
            query.range(r -> r.field(model.getRuleColumn()).gte(JsonData.of(model.getRuleColumnvalue())));
        } else if (condition.equals("!=")) {
            query.bool(q -> q.mustNot(m -> m.term(t -> t.field(model.getRuleColumn()).value(model.getRuleColumnvalue()))));
        } else if (condition.equals("IN")) {
            List<FieldValue> fields = new ArrayList<>();
            String[] values = model.getRuleColumnvalue().split(",");
            for (String value : values) {
                fields.add(FieldValue.of(value));
            }
            query.terms(t -> t.field(model.getRuleColumnvalue()).terms(ms -> ms.value(fields)));
        } else if (condition.equals("LIKE")) {
            query.wildcard(m -> m.field(model.getRuleColumn()).value("*" + model.getRuleColumnvalue() + "*"));
        } else if (condition.equals("LEFT_LIKE")) {
            query.wildcard(m -> m.field(model.getRuleColumn()).value("*" + model.getRuleColumnvalue()));
        } else if (condition.equals("RIGHT_LIKE")) {
            query.wildcard(m -> m.field(model.getRuleColumn()).value(model.getRuleColumnvalue() + "*"));
        } else if (condition.equals("<")) {
            query.range(r -> r.field(model.getRuleColumn()).lt(JsonData.of(model.getRuleColumnvalue())));
        } else if (condition.equals("<=")) {
            query.range(r -> r.field(model.getRuleColumn()).lte(JsonData.of(model.getRuleColumnvalue())));
        }

        return query.build();
    }

   public void test(){
		  BoolQuery.Builder boolQuery = new BoolQuery.Builder();
		  boolQuery.must(
		      q -> q.term(m -> m.field("_index").value(searchConfig.getTableName()))
		  );
		
		 // 过滤权限条件
		  if( !ObjectUtils.isEmpty(searchConfig.getDataRole()) ){
		      Map<String, List<SysPermissionDataRuleModel>> dataRoleMap = searchConfig.getDataRole();
		      ESDataPermissionUtil.addFilterRule(dataRoleMap,boolQuery);
		  }
		
		  for (String singlekeyword :keywordarry) {
		      if (StringUtils.hasText(singlekeyword.trim())) {
		          boolQuery.must(
		                  q -> q.multiMatch(multiMatchQueryBuilder -> multiMatchQueryBuilder
		                          .fields(fdnamelist).query(singlekeyword.trim()).operator(Operator.Or).analyzer("ik_smart"))
		          );
		      }
		  }
  }

}
LJiaWang
关注
专栏目录
Elastic Search的RestFul API入门:使用SQL查询ES
编码人生
02-26 357
Elasticsearch 的 SQL 查询提供了一种类似于传统关系型数据库的查询方式,这使得熟悉 SQL 的开发人员可以更轻松地使用 Elasticsearch 进行数据检索和分析。
ESSQL查询详解
m0_67392273的博客
08-01 4863
本文主要介绍了ElasticsearchSQL的使用。如果你对DSL查询语句不熟悉,那么采用SQL查询索引数据将是一个非常简单,0门槛入门的好方法。1、注意ES在6.3版本之后才原生支持SQL查询。2、可以通过translateAPI将sql语句转为DSL语句。3、ESSQL查询提供对自查询的简单支持。4、通过SHOWFUNCTIONS可以查看ESSQL查询支持的函数。5、ESSQL查询可以通过游标cursor实现分页查询。httpshttpshttpshttps。...
ES:SQL 查询
zhuchunyan_aijia的博客
02-08 3817
ES: sql 查询
Elasticsearch-SQL 使用SQL查询Elasticsearch 安装及JDBC实现过程(附图片详解)
qq_654603797
04-18 3925
Elasticsearch的查询语言(DSL), Elasticsearch-SQL可以用sql查询ElasticsearchElasticsearch-sql的项目地址:https://github.com/NLPchina/elasticsearch-sql 1、Elasticsearch-sql实现的功能: 1)插件式的安装 2)SQL查询 3)超越SQL之外的查询 4...
ES08# ElasticSearch中的SQL查询
gaoliang1719的专栏
05-29 1767
引言通过SQL进行检索ElasticSearch的文档,在一些复杂场景更为灵活。由于DSL需要熟悉其语法,自建的日志平台可能将DSL屏蔽和封装,暴露SQL的查询更易上手。本文顺着官方指南实操一把,文章内容有。Kibana执行SQL查询Post请求执行SQL分页查询SQL中使用DSL过滤使用复杂查询条件其他查询方式(运行时字段与异步SQL)一、Kibana执行SQL查询请求...
ES查询客户端,elasticsearch可视化工具 elasticsearch查询客户端
最新发布
06-20
Elasticsearch查询客户端是用于与ES服务器通信的软件,它们提供了多种语言的API,允许开发者以编程方式执行索引、搜索、更新和删除等操作。常见的Elasticsearch客户端包括: - **Jest**:一个轻量级的Java REST...
elasticsearch数据的查询sql
04-13
- 插件通过解析 SQL 语句并将其转化为 Elasticsearch 的 Query DSL 来实现这一功能,使得开发者可以使用熟悉的 SQL 语法进行索引、查询、聚合等操作。 2. **基本 SQL 查询** - SELECT: 类似于传统 SQL,Elastic...
ES 聚合查询结果转换成相应的List对象
07-11
ES 聚合查询结果转换成相应的对象集合,ES 聚合查询结果转换成相应的对象集合
ES sql插件
11-07
es的查询虽然功能很强大,但是查询语言(DSL)很麻烦,不管是封装json还是通过python/java的api进行封装,都不方便。而elasticsearch-SQL可以用sql查询es,对于不熟悉es的DSL的人来说,更为简便和易读。 Elasticsearch-sql支持的功能: (1)插件式的安装 (2)SQL查询 (3)超越SQL之外的查询 (4)对JDBC方式的支持
lasticsearch-SQL使用SQL查询Elasticsearch
08-07
查询elasticsearch使用熟悉的SQL语法。您还可以使用ES在SQL函数。 基本支持主流的elasticsearch的所有查询方式。同时还有前段ui,一键安装。
elasticsearches-sql中的一些查詢 sql 函数
qq_31286957的博客
06-15 2883
ES-SQL 中可以写sql 进行数据查询 ,但是个别的查询sql 还是有一定的区别,以下记录一些实际用到的一些函数 1、模糊查询 非分词字段 类型为keyword 的字段 使用 like, 和mysql 数据库中的like 使用一样 例如 mobile like ’%keyword%‘ 分词字段 类型为text 的字段 使用 matchPhrase,对应es 中的 match_phrase 例如 name =matchPhrase(‘keyword’) 2、多值查询
Elasticsearch-sql 用SQL查询Elasticsearch
weixin_34006468的博客
10-14 538
Elasticsearch-sql 用SQL查询Elasticsearch https://www.cnblogs.com/kangoroo/p/7273493.html 2017.8.30 elasticsearch-sql的安装与使用 https://www.cnblogs.com/lyh421/p/7453965.html 玩转 Elasticsearch 的 SQL 功能 https://...
ES-sql
fzcd3的博客
05-16 888
最近发布的 Elasticsearch 6.3 包含了大家期待已久的 SQL 特性,
es-sql
Stay hungry, Stay foolish
07-05 469
转:https://github.com/NLPchina/elasticsearch-sql
es应用笔记2-sql查询
过了这个村没这个老王的博客
03-24 6908
es应用笔记2-sql查询 es作为一个搜索索引,在分析场景中,作为明细查询的场景会比kylin、impala、hive等更加合适。 es在6.3版本开始支持sql查询,且其sql基础语法与大数据端的语法较兼容,函数库略有不同。 对于多数据源的接入,通过jdbc接入es改造成本较低,但是xpack-sql-jdbc这个客户端的包是收费的,但是其服务端仍提供了rest api 供查询。 界面查询 kibana中添加简单数据 选择想要的一个栗子 开发者工具查询 进入开发者工具界面 查看有什么表
ESQL 速查
我们的蚊蚊
12-28 4765
ADO.NET Entity Framework esql   目录 1    esql的查询结果集ObjectQuery    1 1.1    ObjectQuery    1 1.2    ObjectQuery    1 1.3    ObjectQuery    1 2    esql的使用    2 2.1    it关键字    2 2
ES使用SQL查询的2种方式
wangsg2014的专栏
12-25 4743
1、JDBC 先说一下使用JDBC连接的方式,由于ES集群的版本号是7.6.2,所以必须使用JDBC的版本也是7.6.2,必须保持一致 项目管理: ​ maven 依赖包: <dependency> <groupId>org.elasticsearch.plugin</groupId> <artifactId>x-pack-sql-jdbc</artifactId> <version>7.6.2</version&gt
Elasticsearch聚合查询实现分页优化
"elasticsearch聚合后分页" 在Elasticsearch中,聚合(Aggregations)是一种强大的数据分析工具,可以用于对索引中的数据进行汇总、统计等操作。分页是检索大量数据时常用的一种手段,它允许用户按需获取数据集的一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值