es java api 子查询,SPL 查询语法 for elasticsearch

最新推荐文章于 2023-05-20 23:34:27 发布
最新推荐文章于 2023-05-20 23:34:27 发布
阅读量441 收藏
点赞数
文章标签: es java api 子查询

SPL 查询语法 for elasticsearch

基本查询

全文检索

index=es_sql_test* 502 AND Woodard

短语查询

index=es_sql_test* "502 Baycliff Terrace"

字段值查询

index=es_sql_test* state=PA AND age<30 AND gender=M

逻辑运算符

必须大写, 支持的运算符有:

AND state=PA AND age>20

OR state=PA OR state=DE

NOT NOT state=DE

() (state=PA OR state=DE) AND age>20

IN state in (PA,DE)

null/exist 运算

null city is null

NOT-null city is NOT null

exist city is NOT null, 与NOT-null相同

数值范围

= age=20 精确匹配age的字段值

!= age!=20 不匹配age的字段值

< age<20 匹配age小于20的字段值

> age>20 匹配age大于20的字段值

<= age<=20 匹配age小于等于20的字段值

>= age>=20 匹配age大于等于20的字段值

通配符

*匹配0个或者多个字符 e.g. firstname=*ri, firstname=Rach

?匹配1个字符 e.g. firstname=Eff?e

特殊字符

非数字,大小写字母, @, _ 字符 或 space出现在查询语句中时,需要添加引号

相对时间

时间单位可以是 年(y) 月(M) 日(d) 周(w) 时(h) 分(m) 秒(s) 毫秒(ms)

now, 当前时间

'2017-03-15T10:00:00', UTC时间字符串, 年(y)必须4位数字, 月(M) 日(d) 周(w) 时(h) 分(m) 秒(s) 必须2位数字

-1h, 减去1小时

+1d, 加1天

/d, 舍弃日期中的小时及以下单位的数值

e.g.

now-5h, 即5小时之前, h为时间单位,

now-1d/d, 即取昨天0点开始的时间,

now+1d, 当前时间加1天

now-2w, 当前时间减去2周

now-1M+1d, 当前时间减去1月再加上1天

@'2017-03-15T10:00:00'-5h

@'2017-03-01'-1s

最小匹配度查询

min_match(field_name, ‘text', ‘match’, ‘analyze')

field_name: 字段名称, 必选

text: string, 搜索的长字符串, 必选

analyze: string, 分词器名称, 可选, 如果text中包括中文, 建议该参数使用ik_smart

e.g. index=sharplook* min_match(agent,"Intel Mac OS X 10_12_5”,”90%”) index=sharplook* min_match(agent,"欢迎来到搜索平台”,”80%”,”ik_smart”)

sort

命令格式: | sort sort-by-field [desc | asc]

index=es_sql_test* | sort by age asc

head, tail

命令格式: | head/tail INT

| head 3 取前三条记录

| tail 3 取后三条记录

top, rare

命令格式: | top/rare INT field

| top 5 lastname | rare 3 lastname

该命令用来统计field的数量, 并取前N条记录.

fields

命令格式: | fields field [, field]*

| fields state, city, firstname, age

该命令用来指定输出列名

table

命令格式: | table field [, field]*

| table state, age

index=es_sql_test* | table state, age

index=bankdata* | stats count by ServiceCode, SystemName | head 1 | table "count"

transaction

命令格式: | transaction field [maxopentxn=INT maxopenevents=INT]

index=es_sql_test* | transaction state maxopentxn=5 maxopenevents=1

maxopentxn 最大事务数量, 默认10

maxopenevents 最大事务日志条数, 默认10

sub search

命令格式: ( search spl_sub_query ;) 子查询必须以分号;结束

index = bankdata* ServiceCode=01 AND (search index=bankdata* SystemId=0000 | head 1 | fields TranSeqNo;)

子查询语法支持除 transaction, tops 外所有语法

子查询应该放在查询条件的最后

子查询建议包括 fields 关键字

聚合查询

stats

命令格式: | stats metric_function(field) [as field_alias] by field-1, field-2, ...

index=es_sql_test* | stats count(firstname) as people_count by state

metric_function 支持的函数有:

sum 累加和

avg 平均值

count 出现的次数

dc 出现在的次数, 去重

min 最小值

max 最大值

stats-filter-before

命令格式 | stats metric_function(field[filter expr]) [as field_alias] by field-1, field-2, ...

index=bankdata* | stats max(@timestamp[filter LogType=Res]), min(@timestamp[filter LogType=Req]) by TranSeqNo

stats-filter-after

命令格式: | stats metric_function(field) [as field_alias] by field [, field]* | filter metric_func_expr [, metric_func_expr]*

index=bankdata* | stats count(LogType) as cc by TranSeqNo | filter cc>30 index=bankdata* | stats count as cc, avg(Duration) aa by TranSeqNo | filter cc>20, aa>12

stats-bucket-sort-limit

命令格式: | stats metric_function(field) [as field_alias] by field[ sort by metric_func_field_alias,N] ,field-2, ...

index=bankdata* | stats avg(Duration) as avg_dur by SystemName[sort by avg_dur,3], ServiceType

metric_func_field_alias 指标函数的别名

N 限制分桶数据输出的数量, 不限时请输入0

stats-stats

命令格式: | stats metric_function(field) [as field_alias] by field [, field]* | stats metric_function(metric_func_field_alias)

index=bankdata* LogType=Req | stats sum(Duration) as duration_total by TranSeqNo | stats avg(duration_total) as duration_avg by ServiceCode

stats-tops

命令格式: | stats tops(N,source=[field-1,field-2,...], field = fieldName asc|desc)

index=bankdata* | stats tops(2,source=[ServiceType,SystemName] ,field=TranSeqNo asc) as top_transeq by SystemId

N 返回聚合记录行数

source 非必须, 返回聚合记录行的列名

field 非必须, 排序字段, asc 正序, desc 倒序

stats-first

命令格式: | stats first(field = fieldName asc|desc, field-1,field-2,...)

index=bankdata* | stats count, first(ServiceType,SystemName) by SystemId

field-1,field-2,... 返回聚合记录的列名

field 非必须, 排序字段, asc 正序, desc 倒序

stats-histogram

命令格式: histogram(field,interval,mincount=n)

index=bankdata* | stats avg(Duration) by histogram(Duration,10,mincount=0)

field 数值列名

interval 数值间隔

mincount 数值, 分桶最小数量,小于该数量的值将不显示

stats-datehistogram

命令格式: date_histogram(field,interval,format='{format}',time_zone='{tz}',mincount={mincount}})

index=bankdata* | stats count(TranSeqNo) as tran_count by date_histogram(@timestamp,hour,mincount=0)

field 时间列名,

interval 时间间隔, 时间单位可以是 年(year) 季(quarter) 月(month) 周(week) 日(d) 时(h) 分(m) 秒(s) 毫秒(ms), 如: 1d, 2h, (year,month,quarter,week)不支持倍数

format 时间格式, 如: yyyy-MM-dd hh:mm:ss

time_zone 时区, 默认为UTC时间, 如: +08:00

offset 时间偏移, 如: +2h

mintime string/long 最小时间

maxtime string/long 最大时间

mincount 数值, 分桶最小数量,小于该数量的值将不显示

index=bankdata* | stats max(@timestamp[filter LogType=Res]) end, min(@timestamp[filter LogType=Req]) start by TranSeqNo

| eval duration=end-start

| stats avg(duration) as avgDuration by ServiceCode, date_histogram(@timestamp,hour)

stats-range

命令格式: range(field,value-1,value-2,value-3...)

index=bankdata* | stats count(TranSeqNo) as tran_count by range(Duration,0,10,50,100,500,2000)

field 数值列名

value-1,value-2,value-3... 自定义数值间隔

stats-date_range

命令格式: date_range(field,datetime-1,datetime-2,datetime-3...)

index=bankdata* | stats count(TranSeqNo) as tran_count by date_range(@timestamp,"2016/10","2016/11","2016/12","2017/01","2017/02", format="yyyy/MM")

field 时间列名

datetime-1,datetime-2,datetime-3... 自定义时间间隔

组合查询

eval

命令格式: | eval eval-field=eval-expression

index=es_sql_test* | eval name = firstname +'.'+ lastname | fields name, age, state

支持的函数包括:

isnull(field) 判断field是否为空

abs(field) 返回field的绝对值

ceil(field) 向上取整

floor(field) 向下取整

log(field) 计算field的对数

log10(field) 计算field的对数

sqrt(field) 计算平方根

cbrt(field) 计算立方根

exp(field) 计算field的指数

round(field, [scale]) 对field做精度计算(四舍五入), scale: int 精度,可选

min(field1, field2) 取两个field中较小的值

max(field1, field2) 取两个field中较大的值

concat(separator, field1, field2, ......) 用separator(分隔符)将field1, field2, ...连接

split(field,separator,n) 将field用separator分隔成数组并取数组中的第n个值

substr(field, m, n) 从field的第m个位值开始到第n个位值结束, 但不包括n处的字符

trim(field) 去除field的前后空格

date_format(date_field,format_string) 将date_field按照format_string格式化, 如: date_format(@timestam,'yyyy-MM-dd HH:mm:ss')

coalesce(field1, field2, ......) 取第一个不为null的值

if(bool_operator, result1, result2) 如果bool_operator为真, 返回result1, 否则返回result2, bool_operator支持的符号有: ==, !=, >, >=, 200, "error", "ok")

case(bool_operator, result1, bool_operator, result2, ......, [default, default_result]) 类似switch case, 根据判断条件生成返回多个枚举值中的一个, default 可选, 默认值为null case(status==200, "c1", status==404, "c2", default, "c3")

eval嵌套 e.g.

eval name=split(firstname+'.'+substr(lastname,0,2),'.')[1]

eval xx=round(cbrt(age),1)

eval xx=round((age+10)/3,2)

注意:

使用乘号*时, 请在前后加空格

eval-after-stats

在使用stats命令之后使用eval,此时支持所有eval命令, 如下:

index=bankdata*

| stats max(@timestamp[filter LogType=Res]) end, min(@timestamp[filter LogType=Req]) start by TranSeqNo

| eval duration=end-start

当在stats命令后使用过eval, 再次使用stats时, 此时eval命令有一定的限制, 如下:

index=bankdata*

| stats max(@timestamp[filter LogType=Res]) end, min(@timestamp[filter LogType=Req]) start by TranSeqNo

| eval duration=end-start

| stats avg_dur = avg(duration)

注意:两个stats中间的eval命令仅限于基本的数学计算'+','-','*','/','%'

search-pipeline-after-stats

命令格式: | search field op_symbol value

index = es_sql* state=DE AND age>20 | stats count cc,avg(age) by city | search avg_age>35 | table city,cc,avg_age

op_symbol 支持的操作符有:

= 等于

!= 不等于

> 大于

>= 大于等于

< 小于

<= 小于等于

注意: 如果需要将过滤后的结果显示成图表, 请使用 table 命令

stats-pipeline-after-stats

命令格式: | stats metric_function(field) [as field_alias] by field-1, field-2, ...

index = es_sql* state=DE AND age>20 | stats count cc,avg(age) by city | search avg_age>35 | eval x = cc%2 | stats sum(avg_age) by x | table x,sum_avg_age

metric_function 支持的函数有:

sum 累加和

avg 平均值

count 出现的次数

min 最小值

max 最大值

注意: 如果需要将过滤后的结果展示成图表, 请使用 table 命令

moving_avg

命令格式: | eval field_alias = moving_avg(field,[,'model'=string,'window'=number,'predict'=number,'type'=string,'alpha'=float,'beta'=float,'gamma'=flat,'pad'=1/0])

index = bankdata* | stats avg(Duration) avg_dur by date_histogram(@timestamp,hour) | eval mov_avg = moving_avg(avg_dur,'model'='holt-winters','window'='6', 'predict'=3,'type'='add','alpha'=0.8,'beta'=0.2,'gamma'=0.5,'pad'=1)

model string, 移动平均数计算模型,默认: simple, 可用模型: simple, linear, ewma, holt-linear, holt-winters,

window int, 滑动窗口跨越数量, 默认: 5

predict int, 预测数量

settings

type string, add/mult model= holt-winters 有效

alpha float model= ewma,holt-linear, holt-winters 有效

beta float model= holt-linear, holt-winters 有效

gamma float model= holt-winters 有效

pad 0/1 model= holt-winters 有效

转载至链接:https://my.oschina.net/u/2392330/blog/1788667

耀答案
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Elastic Search的父查询之child query
悟已往之不谏,知来者之可追
11-03 873
文章目录引Has child query 引 日常生活中有很多类似嵌套查询的例,举个有趣而且比较好理解的例,比如我想要采访一个父亲,但是要求他的儿有三个头六个胳膊。假如我们把我们所有人及其儿女的信息都录入到ES中。那么查询出来的结果一定只有一个,那就是托塔天王,李靖。 Has child query ...
ElasticSearch】大数据搜索选开源还是商业软件?ElasticSearch 对比 Splunk
九师兄
07-24 712
1.概述 转载:大数据搜索选开源还是商业软件?ElasticSearch 对比 Splunk述 本文就架构,功能,产品线,概念等方面就ElasticSearchSplunk做了一下全方位的对比,希望能够大家在制定大数据搜索方案的时候有所帮助。 简介 ElasticSearch (1)(2)是一个基于Lucene的开源搜索服务。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企.
ES查询知识小结
weixin_45442529的博客
05-20 9091
es查询语法学习
SPL性能提升-单键值查找
dark159735的博客
04-21 313
一.介绍 集算器是一款程序化数据运算工具,它能够执行各类数据分析与结构化计算,也可以自由访问数据库,完成在线数据分析。 支持各种数据源混合查询,离散与集合的充分结合,超强有序计算,提倡分步计算 官网:http://www.scudata.com.cn/ 二.准备 1.下载学习资源:http://www.raqsoft.com.cn/wx/course-performance-optimizing.html 2.安装完毕打开集算器,设置seek为主目录 3.切换到主目录 4.执行脚本 1、“主目录\d
es java api 查询_elasticsearch elk最全java api 搜索 聚合、嵌套查询
weixin_39890327的博客
02-16 1049
目录matchAllQuery()方法用来匹配全部文档public static void matchAllQuery(Client client ) {SearchResponse res = null;QueryBuilder qb = QueryBuilders.matchAllQuery();res = client.prepareSearch("search_test").setType...
spl2dsl:使用Peg.js将Splunk SPL转换为Elasticsearch DSL
05-18
基于 Splunk 的 SPL 查询语言转换成 ElasticSearch 的 DSL。 转换结果和 对齐。 可以配置 进行表达式搜索。 Usage const converter = require("./lib/converter") try { const { target, dev } = converter.parse(`...
01 - Elasticsearch 简单而高效的管道查询语言- ES QL 杭州 1.6 2024
最新发布
01-08
**Elasticsearch 管道查询语言 ES|QL 深入解析** Elasticsearch 查询语言(ES|QL)是 Elasticsearch 为用户提供的一种强大而直观的查询工具,它结合了管道(pipe)概念,允许用户对存储在 Elasticsearch 中的数据...
spl-java:JavaSPL运行时代理
05-16
Java的基于性能的适应框架JavaSPL是基于性能的适应框架。 该框架的目的是允许应用程序根据其当前或过去的性能来调整其行为。要求要编译和运行框架,您的计算机上必须装有以下软件。 Java SDK> = 1.7.0 阿帕奇蚂蚁...
java来实现sql的例.rar_spl
09-23
SPL可能指的是“SQL Processing Library”或其他类似的名称,它提供了与数据库交互的能力,使得Java开发者可以方便地执行查询、更新、插入等数据库操作。 【描述】描述提到这个例已经过调试并成功运行,这意味着...
spl常用语句.pdf
10-10
查询语法SPL语言中最重要的一部分,用于从数据库中检索数据。基本的查询语法结构为: ```sql SELECT 字段 1, 字段 2 FROM 表名 ``` 其中,`字段 1` 和 `字段 2` 是要查询的字段,`表名` 是要查询的表名。 1. 条件...
Elasticsearch-SQL语法使用-菜鸟学习
qq_29153321的博客
04-21 7615
ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。 本人在使用Elasticsearch-SQL过程中的使用情况,仅供参考。...
ES使用】Java API操作ES宝典(7.x版本及其以下)
qq_34263207的博客
11-17 4583
今天老坛就带大家看一看在7.x及其以下的版本下如何使用Java API来操作ES
什么是 SPL
maque0312的技术博客
05-28 2584
<br />①.IPL 英文全称是 InitialProgramLoader ,负责主板,电源、硬件初始化程序、并把 SPL 装入 RAM 。IPL 损坏了可把手机扔进河里,或者通过换字库来解决.<br /><br />②.SPL 英文全称是 SecondProgramLoader ,“第二次装系统”,就是负责装载 OS 操作系统到 RAM 中。另外 SPL 还包括许多系统命令,如 mtty 中使用的命令等。 SPL 损坏了还可以用烧录器重写。<br /><br />    SPL 一般提供这几部分功能:检
Sql常用查询操作
Bruce_Up的博客
09-18 2万+
1.查询语句模板: 需要注意的是:  FROM 才是 SQL 语句执行的第一步,并非 SELECT 。 SELETC 是在WHERE语句执行之后执行的,所以不能再WHERE语句后使用SELECT中设置的别名 WHERE是对分组前进行的过滤,HAVING是对分组后进行过滤。 2.sql中的 与 或 非 与--and  或--or 非--not  注意的是 :and 优先级高于 o...
SQL语句之查询数据(MySQL)
Star's Tech Blog
04-19 2万+
查询数据在数据库的操作中相当的重要,下面简单的介绍一下比较基础的SQL查询语句。 以下列的表为例进行操作: CREATE TABLE student( id INT, NAME VARCHAR(20), chinese FLOAT, english FLOAT, math FLOAT ); DELETE FROM student; INSERT INTO student(id,...
ES学习记录5——ES接口规约
jacksonary的博客
09-28 2449
8. ES API规约 8.1 多索引  通常可以用test1、test2、test3这样的形式(或者用_all表示所有索引),当然它也支持通配符(如:test*、*test或者te*t),排除某些索引可以用-符号,比如test*,-test3(匹配所有的test开头的索引但不包括test3),所有的多索引API都支持下面的url查询字符串参数: ignore_unavailable:如果指定索...
通过 elasticsearch-sql 使用 SQL 语句聚合查询 Elasticsearch 获取各种 metrics 度量值
haojiliang
12-27 6285
Elasticsearch 的 metrics(度量)包含count、sum、avg、max、min、percentiles (百分位数)、Unique count(基数 || 去重计数)、Median(中位数)、扩展度量(含方差、平方和、标准差、标准差界限)、Percentile ranks(百分位等级) https://blog.iaiot.com/Elasticsearch-metric...
SQL语句查询语句完整语法
热门推荐
u011991249的专栏
03-21 12万+
数据库是mysql,使用的数据库表名称是my_student. 表的完整数据信息是: 完整语法是: Select [select选项] 字段列表[字段别名]/* from 数据源 [where 字句] [group by句 ][having 句][order by 句][limit 句]; ①[select选项]: Select 选项包含:ALL(所有,默认)、dis
java spl表达式
07-28
Java中,SPL(Stream Pipeline)表达式是一种用于操作流(Stream)的函数式编程风格的表达式。它允许你通过一系列的操作来处理和转换流中的元素,以达到你想要的结果。 在Java 8及以上版本中,你可以使用SPL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值