Elasticsearch系列:番外篇-Fielddata

最新推荐文章于 2025-06-08 14:18:18 发布
原创 最新推荐文章于 2025-06-08 14:18:18 发布 · 3.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Elasticsearch

本文探讨了Elasticsearch中FieldData的工作原理,包括其在聚合、排序操作中的角色,配置方式,内存管理策略,以及与DocValues的主要区别。FieldData针对分词字段提供了查询时的数据结构,但需谨慎管理内存以避免性能问题。

在上一篇DocValues中介绍过,它主要是针对not analyzed String字段存储,那要针对需要分词的字段该如何sort,agg,group,facet呢?一般默认情况下,它会报错。

GET /test_index/test_type/_search 
{
  "aggs": {
    "group_by_test_field": {
      "terms": {
        "field": "test_field"
      }
    }
  }
}
{
  "error": {
    "root_cause": [
      {
        "type": "illegal_argument_exception",
        "reason": "Fielddata is disabled on text fields by default. Set fielddata=true on [test_field] in order to load fielddata in memory by uninverting the inverted index. Note that this can however use significant memory."
      }
    ],
    "type": "search_phase_execution_exception",
    "reason": "all shards failed",
    "phase": "query",
    "grouped": true,  
    "caused_by": {
      "type": "illegal_argument_exception",
      "reason": "Fielddata is disabled on text fields by default. Set fielddata=true on [test_field] in order to load fielddata in memory by uninverting the inverted index. Note that this can however use significant memory."
    }
  },
  "status": 400
}

是的,错误信息中已经找到了答案!FieldData主要是针对analyzed String,它是一种查询时(query-time)的数据结构。

1. 原理

FieldData缓存主要应用场景是在对某一个field排序或者计算类的聚合运算时,它会把这个field列的所有值加载到内存,这样做的目的是提供对这些值的快速文档访问。为field构建FieldData缓存可能会很昂贵,因此建议有足够的内存来分配它,并保持其处于已加载状态。

FieldData是在第一次将该filed用于聚合,排序或在脚本中访问时按需构建。FieldData是通过从磁盘读取每个段来读取整个反向索引,然后逆置term↔︎doc的关系,并将结果存储在JVM堆中构建的

所以,加载FieldData是开销很大的操作,一旦它被加载后,就会在整个段的生命周期中保留在内存中。这了可以注意下FieldDataDoc Values的区别。较早的版本中,其他数据类型也是用的FieldData,但是目前已经用随文档索引时创建的Doc Values所替代。

2. 配置

FieldData默认是禁用的,更多设置

PUT my_index/_mapping/_doc
{
  "properties": {
    "my_field": { 
      "type":     "text",
      "fielddata": true
    }
  }
}

3. 加载

fielddata加载到内存又几种策略,默认是懒加载。即对一个分词的字段执行聚合或者排序的时候,加载到内存。所以他不是在索引创建期间创建的,而是查询在期间创建的。

参数值含义
lazy(默认)FieldData只会在需要用到时加载到内存
eager创建新段(通过refresh,flush或段合并)时,启用了eager loding的field将在段对搜索可见之前预先加载其每段的fielddata。如果用户的搜索请求必须触发对一个大型段的延迟加载时,这个选项可以减少延迟。其实说白了,就是把加载FieldData的时间成本从搜索时转移到了处理段可见时。
eager_global_ordinalsFieldDataGlobal Ordinals加载提前到一个新段对搜索可见之前。

4. 监控

GET /_stats/fielddata?fields=*
GET /_nodes/stats/indices/fielddata?fields=*
GET/_nodes/stats/indices/fielddata?level=indices&fields=*

5. 内存管理

那么基于内存,那又会带来一些问题。如果我们不对内存加以控制,如果数据量太大,很容易造成OOM。那我们应该如何控制fielddata呢?

缓存限制

我们可以配置fielddata内存限制,超出这个限制就清除内存中已有的fielddata数据。默认无限制,限制内存使用,但是会导致频繁evict和reload,大量IO性能损耗,以及内存碎片和gc。

indices.fielddata.cache.size: 20%

circuitbreaker

如果一次query load的fielddata超过总内存,就会发生内存溢出,circuit breaker会估算query要加载的fielddata大小,如果超出总内存,就短路,query直接失败。

indices.breaker.fielddata.limit:fielddata的内存限制,默认60%
indices.breaker.request.limit:执行聚合的内存限制,默认40%
indices.breaker.total.limit:综合上面两个,限制在70%以内

frequency

min: 0.01 只是加载至少1%的doc文档中出现过的term对应的文档。比如说tiger,总共有10000个文档,tiger必须在100个文档中出现。min_segment_size: 500 少于500 文档数的segment不加载fielddata,加载fielddata的时候,也是按照segment去进行加载的,某个segment里面的doc数量少于500个,那么这个segment的fielddata就不加载。

PUT /animals/_mapping/crawler
{
   "properties":{
       "desc":{
           "type":"text",
            "fielddata": {
               "filter": {
                 "frequency": {
                        "min":0.01,
                       "min_segment_size": 500 
                   }
               }
            }
        }
    }
}

6. 和doc_value对比

相同点

  • 都要创建正排索引,数据结构类似于列式存储
  • 都是为了可以聚合,排序之类的操作

不同点

  • 存储索引数据的方式不一样:fielddata: 内存存储;doc_values: OS Cache+磁盘存储
  • 对应的字段类型不一样:fielddata: 对应的字段类型是text; doc_values:对应的字段类型是keyword
  • 针对的类型,也不一样:field_data主要针对的是分词字段;doc_values针对大是不分词字段
  • 是否开启:fielddata默认不开启;doc_values默认是开启

7. 总结

我们知道fielddata堆内存要求很高,如果数据量太大,对于JVM来及回收来说存在一定的挑战。所以doc_value的出现我们可以使用磁盘存储,他同样是和fielddata一样的数据结构,在倒排索引基础上反向出来的正排索引,并且是预先构建,即在建倒排索引的时候,就会创建doc values。,这会消耗额外的存储空间,但是对于JVM的内存需求就会减少。总体来看,DocValues只是比fielddata慢一点,大概10-25%,则带来了更多的稳定性。

Elasticsearches fielddata 字段数据
九师兄
11-02 1990
es中,text类型的字段使用一种叫做fielddata的查询时内存数据结构。当字段被排序,聚合或者通过脚本访问时这种数据结构会被创建。它是通过从磁盘读取每个段的整个反向索引来构建的,然后存存储在java的堆内存中。Fielddata针对text字段在默认时是禁用的,Fielddata会占用大量堆空间,尤其是在加载大量的文本字段时。一旦将字段数据加载到堆中,它在该段的生命周期内将一直保留在那里。同样,加载字段数据是一个昂贵的过程,可能导致用户遇到延迟的情况。这就是默认情况下禁用字段数据的原因。
ElasticSearch启动报错org.elasticsearch.bootstrap.StartupException: java.lang---ElasticSearch工作笔记028
添柴程序猿的专栏
02-11 2863
org.elasticsearch.bootstrap.StartupException: java.lang.IllegalStateExceptio org.elasticsearch.bootstrap.StartupException: java.lang.IllegalStateException: failed to obtain node locks, tried [[/opt/softs/elasticsearch/data]] with lock id [0]; maybe th...
Elasticsearchfielddata 介绍
Elastic 中国社区官方博客
12-14 4666
默认情况下,大多数字段都已编入索引,这使它们可搜索。 但是,脚本中的排序,聚合和访问字段值需要与搜索不同的访问模式。 搜索需要回答“哪个文档包含该术语?”这个问题,而排序和汇总则需要回答一个不同的问题:“此字段对该文档的值是什么?”。 大多数字段可以将索引时生产的磁盘doc_values用于此数据访问模式,但是文本(text)字段不支持doc_values。 替代的方案,文本(text)字段...
elasticsearchfieldData
Angus
03-28 3102
fieldData是干啥的? 当我们对text类型的字段进行首次聚类、排序、或者执行脚本的时候。将磁盘中的数据构建到内存够中。 默认情况下,大多数字段都已编入索引,这使它们可搜索。 但是,脚本中的排序,聚合和访问字段值需要与搜索不同的访问模式。 搜索需要回答“哪个文档包含该术语?”这个问题,而排序和汇总则需要回答一个不同的问题:“此字段对该文档的值是什么?”。 大多数字段可以将索引时生产的磁盘doc_values(doc_values | Elasticsearch Guide [8.1] | E
Elasticsearch 之(31)fielddata原理初探
vincent
05-28 4936
1、《Elasticsearch 之(6)kibana嵌套聚合,下钻分析,聚合分析》提到 对于分词的field执行aggregation,发现报错GET /test_index/test_type/_search { "aggs": { "group_by_test_field": { "terms": { "field": "test_field" ...
更新fielddata为true_关于ElasticSearch的聚类时出现fielddata=true问题
weixin_39551996的博客
01-17 278
ElasticSearch中默认fielddata默认是false的,因为开启Text的fielddata后对内存的占用很高index:megacorptype:employee如果进行聚合查询时候:GET /megacorp/employee/_search{"aggs": {"all_interests": {"terms": { "field": "interests" }}}}返回错误码...
Elasticsearch顶尖高手系列:高手进阶篇-只到92集
07-24
Elasticsearch顶尖高手系列:高手进阶篇-只到92集 硬货~~~不加密~~~高清~~~超值
Elasticsearch:6.0及其ES-Head插件安装
一些平时在开发过程中遇到的常见问题,分享给大家
07-15 2508
Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎;是目前全文搜索引擎的首选,性能测试我们就不累赘了,网上能搜索到很多性能测试结果,不管老版本还是新版本对Java的兼容很友好。搜索也很高效。那我们今天就介绍下如何安装?
ElasticSearch出现java.lang.IllegalStateException: duplicate plugin: - Plugin information:
Kevinnsm的博客
04-11 3033
为了使用IK-中文分词器,特地去下载了一个,结果重启动ES之后,进入Kibana可视化界面,出现了503服务不可用;一开始以为是Kibana还没注册进ES中,结果等待了一会还是如此。 1.使用docker ps查看运行的容器,发现ES已经停掉了,只剩下了Kibana容器在运行 2.查看日志分析原因docker logs elasticsearch 根据提示可以得出是因为plugings目录下的插件IK分词器重复了。此时由于es容器无法启动,就无法直接去容器内部进行修改。不过幸运的是我对plugings、
第二篇:Elasticsearch 安装 - 压缩包方式
Right_ydd的博客
03-11 2181
使用压缩包的方式安装Elasticsearch
Elasticsearch学习---fielddata应用介绍
自律使我自由
07-20 3384
前言
ElasticSearch:从[FIELDDATA]Data too large错误看FieldData配置
热门推荐
雷雨中的双桅船
07-06 2万+
产生Data too large异常 再尝试其他查询也是如此经排查原来是ES默认的缓存设置让缓存区只进不出引起的具体分析一下 ES缓存区概述 FieldData 1 监控FieldData 2 Cache配置 3 FieldData格式 断路器 总结1. 产生Data too large异常今早运行查询时,ES返回了如下报错:{ "error": "... CircuitBreakingE
Elasticsearch】映射:fielddata 详解
Code · Cloud · Think · Repeat
06-08 1361
fielddataElasticsearch 中一种数据结构,用于在内存中缓存字段数据。当需要对 text 字段或其他非 doc_values 支持的字段执行上述操作时,Elasticsearch 需要将这些字段的值加载到内存中,这就是 fielddata 的作用。
Fielddata
silent1的专栏
03-31 909
 When you sort on a field, Elasticsearch needs access to the value of that field for every document that matches the query. The inverted index, which performs very well when searching, is not th
ElasticSearch教程——fielddata原理初探
东天里的冬天
11-21 4062
ElasticSearch汇总请查看:ElasticSearch教程——汇总篇   1、博文kibana嵌套聚合,下钻分析,聚合分析中kibana嵌套聚合,下钻分析,聚合分析 GET /test_index/test_type/_search { "aggs": { "group_by_test_field": { "terms": { "fiel...
ElasticSearch中的field data(正排索引)
大JAVA解决方案
07-27 1286
glrh123 2016-07-29 11:07:01 3137 已收藏 1 分类专栏: ElasticSearch 版权 主要参考文章:http://www.tuicool.com/articles/B3QnQzE 正排索引与倒排索引 Elasticsearch使用一种叫做倒排索引(inverted index)的结构来做快速的全文搜索。倒排索引由在文档中出现的唯一的单词列表,以及对于每个单词在文档中的位置组成。倒排索引的结构如下图,它存储的内容是“哪些词语出现在了哪些文档中”,这种结构决定了...
elasticsearch的Doc ValuesFielddata
thomas0yang的专栏
03-30 1万+
DocValues 什么是DocValues 简单说明DocValues就是一个种列式的数据存储结构(docid、termvalues)。 倒排索引的优势在于查找包含某个项的文档,即通过Term查找对应的docid。 term的倒排 Term Doc_1 Doc_2 Doc_3 brown X X dog X
Elasticsearch-开启Fielddata
qq_44686757的博客
10-29 409
在对 Elasticsearch 中字段进行访问时,报: ElasticSearch [Fielddata is disabled on text fields by default. Set fielddata=true on XXFielddataElasticsearch中用于在内存中存储文本字段数据的一种结构,它允许对文本字段进行排序、聚合或脚本访问。然而,由于Fielddata可能会消耗大量的堆空间,尤其是当加载高基数文本字段时,因此默认情况下它是禁用的。修改对应字段 felddata 为 tr
ElasticSearch中doc valuesfielddata
happy19870612's blog
11-15 1万+
一 为什么聚合排序不适合使用倒排序索引 假设现在有以下的一个搜索: POST /ecommerce/music/_search {    "size":0,    "query":{        "match":{            "desc":"吉他"         }     },    "aggs":{        "brands":{
version: '3.8' services: elasticsearch: image: elasticsearch:8.18.2 container_name: es-node environment: - discovery.type=single-node # 单节点模式 - ES_JAVA_OPTS=-Xms2g -Xmx2g # JVM内存分配 - ELASTIC_PASSWORD=Zyht2@24 # 设置elastic用户密码 volumes: - es-data:/usr/share/elasticsearch/data ports: - "9200:9200" networks: - elk-net logstash: image: logstash:8.18.2 container_name: logstash volumes: - ./logstash.conf:/usr/share/logstash/pipeline/logstash.conf # 挂载配置文件 environment: - LS_JAVA_OPTS=-Xmx1g depends_on: - elasticsearch networks: - elk-net kibana: image: kibana:8.18.2 container_name: kibana environment: - ELASTICSEARCH_HOSTS=http://elasticsearch:9200 - ELASTICSEARCH_USERNAME=elastic - ELASTICSEARCH_PASSWORD=Zyht2@24 ports: - "5601:5601" depends_on: - elasticsearch networks: - elk-net volumes: es-data: driver: local networks: default: name: elk-net driver: bridge在这个基础上改
最新发布
06-26
### 三级标题:Docker Compose ELK Stack 网络与版本冲突修复 在使用 `docker-compose.yml` 配置 ELK 栈时,若指定的 `version: '3.8'` 并出现网络错误 `service "logstash" refers to undefined network elk-net`,说明服务中引用了未定义的自定义网络。为确保容器间的通信正常运行,必须在 `networks` 段显式声明所有自定义网络[^1]。 #### 正确配置自定义网络 在 YAML 文件顶部添加如下网络声明: ```yaml networks: elk-net: driver: bridge ``` Logstash、Elasticsearch 和 Kibana 的服务配置需统一使用该网络: ```yaml logstash: image: docker.elastic.co/logstash/logstash:7.2.0 networks: - elk-net ports: - "5044:5044" - "9600:9600" depends_on: - elasticsearch ``` --- #### 完整 ELK 栈配置示例(适配 Logstash 7.2.0) 以下是一个适用于 Logstash 7.2.0 的 `docker-compose.yml` 示例片段,确保兼容性与功能性: ```yaml version: '3.8' networks: elk-net: driver: bridge services: elasticsearch: image: docker.elastic.co/elasticsearch/elasticsearch:7.2.0 container_name: elasticsearch environment: - discovery.type=single-node ports: - "9200:9200" - "9300:9300" networks: - elk-net logstash: image: docker.elastic.co/logstash/logstash:7.2.0 container_name: logstash ports: - "5044:5044" - "9600:9600" volumes: - ./logstash.conf:/usr/share/logstash/pipeline/logstash.conf depends_on: - elasticsearch networks: - elk-net kibana: image: docker.elastic.co/kibana/kibana:7.2.0 container_name: kibana ports: - "5601:5601" depends_on: - elasticsearch networks: - elk-net ``` --- #### 日志管道无输出问题排查 若 Logstash 启动成功但数据无法写入 Elasticsearch 或控制台无输出,可检查日志确认是否因安全认证失败导致: ``` [security_exception] unable to authenticate user [elastic] for REST request ``` 此错误表明 Logstash 使用的账号权限不足或未正确配置安全凭证。可在 Logstash 输出插件中明确指定用户名和密码: ```ruby output { elasticsearch { hosts => ["http://elasticsearch:9200"] user => "elastic" password => "your_secure_password" } } ``` 此外,确保 Elasticsearch 已关闭安全验证或已正确配置 TLS 加密与用户权限管理[^2]。 --- #### 网络连通性验证 进入 Logstash 容器并测试对 Elasticsearch 的访问能力: ```bash docker exec -it logstash bash curl -v http://elasticsearch:9200 ``` 若返回 `Connection refused`,应进一步检查 Elasticsearch 是否启动成功,并确认其绑定地址是否为 `0.0.0.0` 而非仅限于 `localhost`。 --- #### 版本兼容性建议 Logstash 7.2.0 属于较旧版本,需确保与 Elasticsearch 和 Kibana 的版本一致,避免因协议变更或功能弃用导致不可预见的问题。官方推荐使用相同主版本的组件以保证稳定性。对于新部署项目,建议优先考虑更新至 8.x 系列以获得更好的安全性与性能优化。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值