Elasticsearch 查询超过10000 的解决方案 - Python

最新推荐文章于 2025-03-01 19:52:43 发布
最新推荐文章于 2025-03-01 19:52:43 发布
阅读量1.8k 收藏 7
点赞数 10
CC 4.0 BY-SA版权
文章标签: elasticsearch python 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hhhmonkey/article/details/135753332

文章目录

Elasticsearch 查询超过10000 的解决方案 - Python

法1:修改 设置 max_result_size (不推荐)

# 调大查询窗口大小,比如100w (不推荐,慎用)
PUT test/_settings
{
  "index.max_result_window": "1000000"
}

# 查看 查询最大数
GET test/_settings
---
{
  "demo_scroll" : {
    "settings" : {
      "index" : {
        "number_of_shards" : "5",
        "provided_name" : "demo_scroll",
        "max_result_window" : "1000000",
        "creation_date" : "1680832840425",
        "number_of_replicas" : "1",
        "uuid" : "OLV5W_D9R-WBUaZ_QbGeWA",
        "version" : {
          "created" : "6082399"
        }
      }
    }
  }
}

法2: scroll 分页

    def getData(self):
        current_time = datetime.datetime.now()
        one_hour_ago = current_time - datetime.timedelta(hours=24)
        current_time_str = current_time.strftime('%Y-%m-%d %H:%M:%S')
        hours_ago_str = one_hour_ago.strftime('%Y-%m-%d %H:%M:%S')

        # 改为从elasticsearch读取数据
        es = Elasticsearch(hosts='http://127.0.0.1/9200',
                           timeout=1200)
        size = 10000
        query_scroll = {
            "size": size,
            "query": {
                "range": {
                    "create_time.keyword": {
                        "gte": hours_ago_str.__str__(),
                        "lte": current_time_str.__str__()
                    }
                }
            },
            "_source": ["ip_address", "OS", "host", "user", "create_time"],
        }
        scroll = "10m" # 该次连接超时时间设置
        result = []
        # first
        init_res = es.search(index="nac-users", body=query_scroll, scroll=scroll)
        scroll_id = init_res["_scroll_id"]
        for item in init_res["hits"]["hits"]:
            result.append({
                'id': item['_id'],
                'ip_address': item['_source']['ip_address'],
                'operating_system': item['_source']['OS'],
                'hostname': item['_source']['host'],
                'username': item['_source']['user'],
                'date_t': item['_source']['create_time'],
            })
        i = 0
        while i < 16:  # 剩下的数据 一天 24 小时数据估计不会超过 160000
            res = es.scroll(scroll_id=scroll_id, scroll=scroll)
            if len(res["hits"]["hits"]) == 0:
                break
            for item in res["hits"]["hits"]:
                result.append({
                    'id': item['_id'],
                    'ip_address': item['_source']['ip_address'],
                    'operating_system': item['_source']['OS'],
                    'hostname': item['_source']['host'],
                    'username': item['_source']['user'],
                    'date_t': item['_source']['create_time'],
                })
            i = i + 1
            
        # 原始的    
        # {"query": {"match_all": {}}, "size": 10000}
        # res = es.search(index="nac-users", body=query_scroll)
        #
        # result = []
        # for item in res['hits']['hits']:
        #     result.append({
        #         'id': item['_id'],
        #         'ip_address': item['_source']['ip_address'],
        #         'operating_system': item['_source']['OS'],
        #         'hostname': item['_source']['host'],
        #         'username': item['_source']['user'],
        #         'date_t': item['_source']['create_time'],
        #     })
        self.data = pd.DataFrame(result)

法3: search_after 分页

def getData(self):
      current_time = datetime.datetime.now()
      one_hour_ago = current_time - datetime.timedelta(hours=24)
      current_time_str = current_time.strftime('%Y-%m-%d %H:%M:%S')
      hours_ago_str = one_hour_ago.strftime('%Y-%m-%d %H:%M:%S')

      # 改为从elasticsearch读取数据
      es = Elasticsearch(hosts='http://127.0.0.1:9200',
                         timeout=1200)
      size = 10000
      query_scroll = {
          "size": size,
          "query": {
              "range": {
                  "create_time.keyword": {
                      "gte": hours_ago_str.__str__(),
                      "lte": current_time_str.__str__()
                  }
              }
          },
          "sort": [
              {
                  "create_time.keyword": {
                      "order": "desc"
                  }
              }
          ],
          "_source": ["ip_address", "OS", "host", "user", "create_time"],
      }
      result = []
      init_res = es.search(index="nac-users", body=query_scroll)
      if len(init_res["hits"]["hits"]) == 0:
          self.data = pd.DataFrame(result)
          return
      sort = init_res["hits"]["hits"][0]["sort"] # 我这里是用时间来排序的,所以取到的是时间字段
      for item in init_res["hits"]["hits"]:
          result.append({
              'id': item['_id'],
              'ip_address': item['_source']['ip_address'],
              'operating_system': item['_source']['OS'],
              'hostname': item['_source']['host'],
              'username': item['_source']['user'],
              'date_t': item['_source']['create_time'],
          })
      i = 0
      while i < 16:
          query_scroll["search_after"] = sort
          res = es.search(index="nac-users", body=query_scroll)
          sort = res["hits"]["hits"][0]["sort"]
          if len(res["hits"]["hits"]) == 0:
              break
          for item in res["hits"]["hits"]:
              result.append({
                  'id': item['_id'],
                  'ip_address': item['_source']['ip_address'],
                  'operating_system': item['_source']['OS'],
                  'hostname': item['_source']['host'],
                  'username': item['_source']['user'],
                  'date_t': item['_source']['create_time'],
              })
          i = i + 1
    self.data = pd.DataFrame(result)

还有一个方法是在参考文章2里面提到的track_total_hits,但是我测试的时候没起作用,目前还不太清楚原因。。。

我看参考文章里说到search_after 分页要比scroll快,但是在我的数据上是scroll要快很多,不是特别清楚,可能我这里的数据暂时只有2w多一点,感觉用到search_after 分页需要排序,可能是排序的字段的问题,时间字段我存的是字符串格式,,如有可以修改的地方,欢迎大家指正~ 有更多可以参考的方法欢迎贴在评论区供大家参考~

【参考1】https://juejin.cn/post/7224369270141993019
【参考2】https://blog.youkuaiyun.com/u011250186/article/details/125483759

monkeyhlj
关注
ElasticSearch实战(四十四)-Datax 开源数据离线同步方案
专注基础架构领域
09-22 1338
DataX 是阿里巴巴集团内被广泛使用的离线数据同步工具/平台,实现包括 MySQL、Oracle、SqlServer、Postgre、HDFS、Hive、ADS、HBase、TableStore(OTS)、MaxCompute(ODPS)、DRDS 等各种异构数据源之间高效的数据同步功能。 DataX本身作为数据同步框架,将不同数据源的同步抽象为从源头数据源读取数据的Reader插件,以及向目标端写入数据的Writer插件,理论上DataX框架可以支持任意数据源类型的数据同...
Python处理MySQL大数据量:分页查询与性能优化
最新发布
AI天才研究院
06-23 831
本文面向需要处理MySQL大数据量表分页查询Python开发者,重点解决“百万级数据分页慢”的核心问题。覆盖传统分页的性能瓶颈分析、4种优化方案(索引分页/覆盖索引/游标分页/预计算分页)的原理与实现,以及Python代码实战。本文从“图书馆找书”的生活案例引入分页原理,逐步拆解传统的性能痛点,通过代码+执行计划分析优化方案,最后结合电商商品列表场景给出完整实战案例。传统分页简单但低效,OFFSET越大越慢。索引分页:基于自增主键或有序索引,通过快速定位,时间与页数无关。覆盖索引。
ES深度分页之坑(查询10000条的限制,Elasticsearch exception [type=search_phase_execution_exception, reason=all sha)
Liuyooer的博客
10-27 4056
一:场景复现 我们A服务在调用B服务(订单服务),进行订单查询的时候,B服务查询ES报错。 二:问题排查 1.报错问题 A服务报错msg: 调用订单服务查询异常,参数= {"jumpType":1,"pageIndex":1,"pageSize":2147483647, "saleOrderCode":["XXXXXXXXXXXXXXXX"],"searchCount":true}, result={"code":"","msg":"Elasticsearch exception [type=s
ElasticSearch】ES分页查询超过10000限制解决
热门推荐
一气道盟王富贵儿
03-26 1万+
解决 Elasticsearch 超过 10000 条无法查询的问题
elasticsearch 查询10000解决方案
苍煜
07-12 8670
scroll查询的相应数据是非实时的,如果遍历过程中插入新的数据,是查询不到的。并且保留上下文需要足够的堆内存空间。相比于 from/size 和 search_after 返回一页数据,Scroll API 可用于从单个搜索请求中检索大量结果。但是 scroll 滚动遍历查询是非实时的,数据量大的时候,响应时间可能会比较长适用场景全量或数据量很大时遍历结果数据,而非分页查询。scroll方案基于快照,不能用在高实时性的场景下,建议用在类似数据导出场景下使用。
ElasticSearch查询大于10000条的数据
jsugs的博客
04-19 4201
注: 部分概念介绍来源于网络 在使用es进行数据查询时,由于es官方默认限制了索引一次性最多只能查询10000条数据,查询第10001条数据开始就会报错, 错误的内容大致为: Result window is too large, from + size must be less than or equal to:[10000] but was [10500]. See the scroll api for a more efficient way to requestlarge data sets.
Elasticsearch查询10000条限制解决方案
Black794的博客
10-31 5520
如果您的搜索结果超过了 max_result_window 的值,那么 Elasticsearch 将会返回一个错误,提示您使用 scroll API 或者增加 max_result_window 的值来处理这个问题。这意味着,如果您执行一个搜索请求,请求的结果超过10000 条记录,那么只会返回前 10000 条记录,并且 Elasticsearch 会在响应中包含一个 hits.total 字段,该字段表示总共匹配了多少条记录。search_after查询
Elasticsearch from/size-浅分页查询-深分页 scroll-深分页search_after深度查询区别使用及应用场景
m0_56069948的博客
09-26 1253
copy1.每个文档具有一个唯一值的字段应该用作排序规范的仲裁器。否则,具有相同排序值的文档的排序顺序将是未定义的。建议的方法是使用字段_id,它肯定包含每个文档的一个唯一值。2.为了找到每一页最后一条数据,每个文档必须有一个全局唯一值,官方推荐使用 _uid 作为全局唯一值,其实使用业务层的 id 也可以。{},"sort": [],"from": 0,}copy# 为了根据最后一条数据的唯一标识来查询1w后面的数据。
ElasticSearch入门实战介绍
weixin_51049616的博客
07-12 2535
官网地址下载地址ElasticSearch(简称ES)是一个开源的分布式搜索和数据分析引擎,是用Java开发并且是当前最流行的开源的企业级搜索引擎,能够达到近实时搜索,它专门设计用于处理大规模的文本数据和实现高性能的全文检索。以下是一些 Elasticsearch 的特点和优势:分布式架构:Elasticsearch 是一个分布式系统,可以轻松地 水平扩展处理大规模的数据集和高并发的查询请求。全文检索功能:Elasticsearch 提供了强大的全文检索功能,
ElasticSearch-Kafka-RabbitMQ
weixin_73241486的博客
04-04 1584
Elasticsearch 是基于 Lucene 的 Restful 的分布式实时全文搜索引擎, 每个字段都被索引并可被搜索,可以快速存储、搜索、分析海量的数据。Kafka是分布式发布-订阅消息系统是一个可划分的,冗余备份的持久性的日志服务,它主要用于处理流式数据。组件:主题(Topic):Kafka主题是一堆或一组消息。生产者(Producer):在Kafka,生产者发布通信以及向Kafka主题发布消息。消费者(Consumer):Kafka消费者订阅了一个主题,并且还从主题中读取和处理消息。
python批量从es取数据的方法(文档数超过10000)
09-19
今天小编就为大家分享一篇python批量从es取数据的方法(文档数超过10000),具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
ElasticSearch 10000查询数量限制
程序员青菜学厨记
09-30 4818
我们将库存快照数据导入ES后发现要分页查询10000条以后的记录会报错,这是因为ES通过index.max_result_window这个参数控制能够获取数据总数from+size最大值,默认限制是10000条,因为ES考虑到数据要从其它节点上报到协调节点如果搜索请求的数据越多,会导致ES协调节点占用的堆内存和搜索排序时间越大,但是我们又有这样的需求,虽然页面展示不需要翻到10000条记录后,但在导出XLS是需要将20万条数据一次性导出,本文介绍如何实现。它们分页的组件如下,从产品层面避免了深度分页。
es查询条数超过10000问题
yanzi920403的博客
08-20 648
【代码】es查询条数超过10000问题。
es大量数据读取,超过1w条的那种,该如何操作????这里就是方法(python
MY博客
02-21 1691
使用脚本读取大批量es数据
ES怎么查询大于10000条数据
C18298182575的博客
03-01 1219
scrollAPI:适合一次性获取大量数据,尤其是需要处理所有数据的场景。:适合分页查询大数据量,性能较好。:不推荐用于大数据查询,可能会导致性能问题。slice:适合并行查询大数据量。根据你的具体需求选择合适的查询方式。
Elasticsearch 查询超出10000条时
QQ2856639881的专栏
10-10 4529
1、参考https://blog.youkuaiyun.com/Misaki_root/article/details/101203647 es本身默认限制了查找的量为10000条,即 from+size<=10000 解决方法: 1、 在config/elasticsearch.yml中添加配置 max_result_window: 1000000000 2、 使用api修改index的配置...
ES查询时只能查询10000条数据解决方案
IT之一小佬的博客
09-10 1万+
ES查询时只能查询10000条数据解决方案
ElasticSearch返回值数量超过10000解决方案
weixin_42326851的博客
04-18 1万+
ElasticSearch返回值数量超过10000解决方案
Elasticsearch分页查询超过10000就报错
weixin_45371233的博客
02-13 1169
Elasticsearch分页查询超过10000就报错问题原因及解决办法
elasticsearch.exceptions.RequestError: RequestError(400, 'search_phase_execution_exception', 'Result window is too large, from + size must be less than or equal to: [10000] but was [10100]. See the scroll api for a more efficient way to request large data sets. This limit can be set by changing the [index.max_result_window] index level setting.') 在查询es数据过程中出现的改报错信息,使用的编程语言是python 。请告诉我详细的解决办法
03-18
<think>嗯,用户遇到了Elasticsearch的报错,提示结果窗口太大,需要调整index.max_result_window参数或者使用scroll API。首先,我得确认问题的具体情况。用户提到他们试图获取的数据量超过了默认的10000条限制,导致报错。现在他们想通过Python客户端解决这个问题。 首先,解决方案可能有两个方向:调整max_result_window参数或者改用scroll API。不过,调整参数虽然直接,但可能有性能问题,特别是对于大数据量的分页。而scroll API适合深度分页,但需要维护上下文,可能不适合实时性高的场景。另外,用户可能还需要了解search_after方法,这是一种更有效的分页方式,结合排序和游标。 接下来,我需要确保提供的步骤正确无误。比如,修改索引设置时,需要使用PUT请求,这在Python客户端中可以通过indices.put_settings方法实现。同时,要注意集群可能需要重启或者这个调整对性能的影响。 对于scroll API的使用,代码示例需要正确展示如何初始化搜索、获取滚动ID,以及循环获取结果。同时要提醒用户scroll_id的有效期,避免超时问题。 另外,用户可能对这三种方法的适用场景不太清楚,需要解释清楚:调整参数适合小规模分页,scroll适合大量数据导出,search_after适合实时分页。 最后,生成的相关问题要覆盖常见的后续疑问,比如参数调整的风险、scroll和search_after的区别,以及性能优化的其他方法。确保用户能全面了解解决方案和可能的后续步骤。</think>### 问题分析 Elasticsearch默认限制单次查询返回结果窗口大小为$10,000$条数据,当`from + size > 10,000`时触发该错误。以下是三种解决方案及其实现步骤: --- ### 解决方案一:调整索引设置(适合小规模分页) 1. **修改`index.max_result_window`参数** ```python from elasticsearch import Elasticsearch es = Elasticsearch() body = { "index": { "max_result_window": 20000 # 根据实际需求调整 } } es.indices.put_settings(index='your_index_name', body=body) # 替换your_index_name ``` **注意**:此方法会增加内存消耗,可能导致性能下降[^1] 2. **查询时使用扩展窗口** ```python es.search(index="your_index", body={"query": {...}}, from_=0, size=15000) ``` --- ### 解决方案二:使用Scroll API(适合大数据量导出) Scroll API通过维护搜索上下文实现批量获取: ```python # 初始化scroll response = es.search( index="your_index", scroll="2m", # 上下文有效期 size=1000, body={"query": {...}} ) scroll_id = response['_scroll_id'] # 循环获取数据 while True: response = es.scroll(scroll_id=scroll_id, scroll="2m") hits = response['hits']['hits'] if not hits: break # 处理数据 ``` --- ### 解决方案三:Search After(推荐用于深度分页) 结合排序字段实现高效分页: ```python last_sort = None while True: body = { "query": {...}, "sort": [{"timestamp": "asc"}], # 必须包含唯一性字段 "size": 1000 } if last_sort: body["search_after"] = last_sort response = es.search(index="your_index", body=body) hits = response['hits']['hits'] if not hits: break last_sort = hits[-1]['sort'] # 获取最后一条排序值 ``` --- ### 方法对比 | 方法 | 适用场景 | 优点 | 缺点 | |---------------------|-------------------------|-----------------------|-------------------------| | 调整max_result_window | 小规模分页(≤10万) | 实现简单 | 内存压力大,性能下降 | | Scroll API | 全量数据导出/ETL | 支持超大数据量 | 上下文维护成本高 | | Search After | 实时深度分页 | 无上下文开销 | 需要唯一排序字段 | ---
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值