es查询 scroll_scan用法

最新推荐文章于 2025-05-13 18:42:11 发布
原创 最新推荐文章于 2025-05-13 18:42:11 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种利用Elasticsearch的Scroll Scan方法实时查询大量日志数据的技术方案。该方法通过查询一分钟前的数据来减少延迟影响,并采用特定策略获取跨天的索引名称。此外,还提供了Python实现的具体代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

需求大概是:需要实时地推送日志系统的日志消息,提供给其他同事查询使用。当前时间查询前一分钟的数据,因为数据量大,考虑用es的scroll_scan方法。

代码:

#!/usr/bin/env python
# -*- coding:utf-8 -*-
"""
查询es数据 demo
由于es数据存在一定延迟, 所以统计一分钟前的数据.
"""
import sys
import os
import requests

setting_path = (os.path.dirname(os.path.dirname(os.path.realpath(__file__))))
sys.path.insert(0, setting_path)

import json
import datetime
import logging
logger = logging.getLogger('demo')

ES_URL_PRE = "http://XXX/es/"


def request_get(url, params, timeout=2):
    """统一的request.gets函数借口,加上异常处理.
    Note: 适用于返回数据为json字符串的cgi接口.

    """
    try:
        r = requests.get(url=url, params=params, timeout=timeout)
        if r.ok:
            ret = r.json()
            return ret
        else:
            logger.error('{0} faild, code: {1}, cause: {2}'\
                .format(url, r.status_code, r.text[:200]))
    except requests.exceptions.ConnectionError:
        logger.exception('connection error: %s' % (url, ))
    except requests.exceptions.RequestException:
        logger.exception('request {0} error'.format(url))
    return {}


def requests_post(url, data, timeout=2):
    """统一的requests.post函数接口,加上异常处理.
    Note: 适用于返回数据为json字符串的cgi接口.
    """
    try:
        r = requests.post(url=url, data=data, timeout=timeout)
        if r.ok:
            ret = r.json()
            return ret
        else:
            logger.error('{0} faild, code: {1}, cause: {2}'\
                         .format(url, r.status_code, r.text))
    except requests.exceptions.ConnectionError:
        logger.exception('connection error: %s' % (url, ))
    except Exception:
        logger.exception('request {0} error'.format(url))
    return {}


def gen_index(date, name="logstash"):
    return '{0}-{1}'.format(name, date.strftime('%Y.%m.%d'))


def get_exact_index_name(from_time, to_time, name="logstash"):
    """获取精确的index名称"""
    from_time -= datetime.timedelta(hours=8)
    to_time -= datetime.timedelta(hours=8)

    day = to_time.day - from_time.day
    if day >= 1:
        indexs = []
        for idx in range(day + 1):
            indexs.append(gen_index(from_time + datetime.timedelta(days=idx), name))
        index_name = ",".join(indexs)
    else:
        index_name = gen_index(to_time, name)
    return index_name


def get_query_data(from_time, to_time, should_terms):
    should = []
    for item in should_terms:
        should.append({"term": item})

    query_template = {
        "query": {
            "filtered": {
                "filter": {
                    "bool": {
                        "should": should
                    },
                },
            "query": {
                    "range": {
                        "@timestamp": {
                            "gte": from_time,
                            "lt": to_time,
                            "time_zone": "+08:00"
                        }
                    }
                }
            }
        }
    }
    return json.dumps(query_template)


def get_type_data(from_time, to_time, type_name, size=500):
    index_name = get_exact_index_name(from_time, to_time)
    initial_url = ES_URL_PRE + "{0}/{1}/_search/?scroll=2m&size={2}&search_type=scan".format(index_name, type_name, size)

    messages, counts = [], 0
    should_terms = [{"opt": "1_1"}, {"opt": "4_12"}]
    data = get_query_data(from_time.strftime("%Y-%m-%dT%H:%M:%S"),
                          to_time.strftime("%Y-%m-%dT%H:%M:%S"),
                          should_terms)
    rets = requests_post(initial_url, data, timeout=2)
    if not rets:
        return messages, counts
    scroll_id, counts = rets.get("_scroll_id", ""), rets.get("hits", []).get("total", 0)
    if not counts:
        return messages, counts
    scroll_url = ES_URL_PRE + "_search/scroll?"
    while True:
        params = {'scroll_id': scroll_id, "scroll": "2m", "size": size}
        res = request_get(scroll_url, params=params, timeout=1)
        hits = res.get("hits", {}).get("hits", [])
        if not hits:
            break
        for hit in hits:
            messages.append(hit.get("_source", {}))
        scroll_id = res.get("_scroll_id", "")
    return messages, counts


def main(from_time, to_time):
    type_name = "bilog"
    size = 1000
    messages, counts = get_type_data(from_time, to_time, type_name, size=size)
    return messages, counts


if __name__ == "__main__":
    start_time = datetime.datetime.now()
    to_time = start_time.replace(second=0, microsecond=0) \
        - datetime.timedelta(minutes=1)

    from_time = (to_time - datetime.timedelta(minutes=1))
    messages, counts = main(from_time, to_time)
    end_time = datetime.datetime.now()
    print end_time-start_time


es】使用ElasticSearch的44条建议 性能优化
九师兄
05-26 4384
1.概述 转载:使用ElasticSearch的44条建议 建议去看原文,这里是防丢失 在搜索业务上摸爬滚打3年,使用的Es版本也从1.x升级到了5.x,扮演的角色也逐渐从Es的使用方变为维护方,这里大致汇总了使用Es过程中踩的一些坑以及一些注意事项,也会穿插一下我们的解法。 01 — es中建索引是指创建一个保存数据的目录,用于保存倒排索引,索引创建之后是不可变的(Immutable),只允许新增字段。 因为lucene中field是带类型的,不同类型的字段进入倒排索引后会经过压缩,long/int/.
实习成长之路:关于ElasticSearch深度分页带来的思考,如何解决深度分页和跳页
萌新Java工程师
03-18 3203
ElasticSearch的深度分页带来的问题,一些思考,
ESscroll技术
Xlucas的博客
11-16 8477
如果一次性要查询出一大批的数据,那么性能会很差,此时一般采用scoll滚动查询,一批一批的查询,直到所有的数据查询完成 使用scoll滚动搜索,可以先搜索一批数据,然后下次再搜索一批数据,以此类推,直到搜索出全部的数据来 scoll搜索会在第一次搜索的时候,保存一个当时的视图快照,之后只会基于该旧的视图快照提供数据搜索,如果这个期间数据变更,是不会让用户看到的 采用基于_doc进行排序的方式,性能...
es中的scan and scroll搜索
mgxcool的专栏
11-18 4164
es上搜索数据时,默认es只会返回10条文档,当我们想获取更多结果,或者只要结果中的一个区间的数据时,可以通过szie和from来指定。 GET /_search?size=3&from=20如上的查询语句,会返回排序后的结果中第20到第22条数据。es在收到这样的一个请求之后,每一个分片都会返回一个top22的搜索结果,然后将这些结果汇总排序,再选出top22,最后取第20到第22条数据作为
ElasticSearch深入解析(十一):分页和分批统计的三种实现
最新发布
TracyCoder的博客
05-13 1303
特性scroll核心逻辑偏移量切片游标前向遍历静态快照批量拉取深度分页支持不支持(无限制无限制实时性高(每次查询最新数据)高(基于实时排序)低(基于快照)内存/网络开销高(随from增大)低(仅获取后续数据)中(快照占用内存)分页方向任意页(前后跳转)仅前向(下一页)仅前向(下一页)典型场景小数据量浅分页大数据量实时分页全量数据离线导出优先选择:适合绝大多数实时分页场景,兼顾性能与灵活性;谨慎使用:仅用于小数据量且分页深度较浅的场景;仅用scroll
ES(Elasticsearch)scroll查询获取所有数据的某个字段
weixin_43697585的博客
11-21 9340
在ElasticSearch中实现分页查询的方式有两种,分别为深度分页(from-size)和快照分页(scroll) 快照分页(scroll)        相对于from和size的分页来说,使用scroll可以模拟一个传统数据的游标,记录当前读取的文档信息位置。这个分页的用法,不是为了实时查询数据,而是为了一次性查
Elasticsearch使用Scroll-Scan实现数据遍历
王浩的技术博客
07-12 1万+
Elasticsearch 是一个实时的分布式搜索与分析引擎,被广泛用来做全文搜索、结构化搜索、结果分析。在实际应用中有时需要遍历某个索引的全部数据,这时使用分页检索的形式效率会比较差。       分页检索即from-size形式,from指的是从哪里开始拿数据,size是结果集中返回的文档个数。from-size的工作原理是:如size=10&from=100,那么Elasticsearch
python elasticsearch scroll scan 滚动 翻页
shooke笔记
11-02 2099
from elasticsearch import Elasticsearch es = Elasticsearch([ 'http://conf:9200/' ]) page = es.search( index ='ware_index', doc_type ='ware_type', scroll ='2m', search_type ...
Elasticsearch 使用java分页查询条数超过1w的解决办法 -scroll_id方式
ssdlleave的专栏
05-29 3477
1.需求:查询es近3个月数据取出并进行重新推送。 问题:原使用java分页查询es。可是到1w条数据后就会自动停止无法查询1w之后的数据。 原查询方法: /** * @description: 查询轨迹信息 * @param billTraceSearchVo * @param page * @date: 2020/5/28 15:06 * @author: ss * @return: java.util.List<cn.uce.core.elasticse...
如何使用python访问Elasticsearch并实现大批量查询
狸克先生的笔记本
05-27 7589
问题背景: 近期的工作中,获取应用日志数据时,发现采用的是elk架构的日志服务器,需要访问ElasticSearch服务器来查询所需要的日志数据 自己也是第一次接触elk,因此走了不少的弯路,主要遇到的问题有: 1、Python如何连接es服务器——elasticsearch库 2、如何发送查询语句,获取查询结果——DSL查询语言 3、查询结果较多时,如何进行查询和保存——scroll方法 4、网络异常/查询失败时,如何自动重连——try+catch+while语法 在爆肝了几个晚上之后,总算把以上的全部问
Elasticsearch--scan and scroll
u014431852的博客
10-16 5216
scan(扫描)搜索类型是和scroll(滚屏)一起使用来从Elasticsearch里高效地连续性取回巨大数量的结果而不需要付出深分页的代价。
es scroll 时间_es查询scroll_scan使用方法
weixin_39582724的博客
02-06 541
需求大概是:需要实时地推送日志系统的日志消息,提供给其他同事查询使用。当前时间查询前一分钟的数据,因为数据量大,考虑用esscroll_scan方法。代码:#!/usr/bin/env python# -*- coding:utf-8 -*-"""查询es数据 demo由于es数据存在一定延迟, 所以统计一分钟前的数据."""import sysimport osimport requestss...
ES - 滚动查询(scroll)
热门推荐
莫莫绵的博客
07-14 2万+
Elasticsearch-scroll滚动查询适合那种需要一次性或分批拉出大量数据做离线处理、迁移等。比起from、size分页查询可以提升点效率。不过不要再前端分页实时查询的时候使用哦!
ElasticSearch 的 from+size、scrollscroll-scan、sliced scroll-sacn、search after
itakyubi的博客
09-14 2313
参考文章: 使用scroll实现Elasticsearch数据遍历和深度分页 Elasticsearch 5.x 源码分析(3)from size, scroll 和 search after ElasticSearch官方文档 Elasticsearch搜索类型讲解 理解“query then fetch”和“dfs query then fetch” 目录 1、ElasticSe...
ES--深分页Scroll
chbxw
03-31 3189
一、前言 1.1、scroll与from+size区别 之前讲过from+size的分页,为何又有scroll+size的深分页呢?这里先对比一下两者的区别; ES对于from+size的个数是有限制的,二者之和不能超过1w。当所请求的数据总量大于1w时,可用scroll来代替from+size。 from+size在ES查询数据的方式步骤如下: 1、先将用户指定的关键字进行分词; 2、将词汇去分词库中进行检索,得到多个文档的id; 3、去各个分片中拉取指定的数据,相对耗时较长; 4、将数据根据score
ES实战】Search的滚动查询Scroll
有文档被优快云自动升级成了VIP免费,需要调整的可以私信
11-26 1万+
滚动查询Scroll) 虽然搜索请求返回结果是单个“页面”,但scroll API 可用于从单个搜索请求中检索大量结果(甚至所有结果),其方式与在传统数据库使用相似。 scrolling不是用于实时用户请求,而是用于处理大量数据,例如:为了将一个索引的内容重新索引到具有不同配置的新索引中。 为了使用滚动,初始搜索请求应该在查询字符串中指定scroll参数,它告诉 Elasticsearch 它应该保持“搜索上下文”多长时间(请参阅保持搜索上下文活着),例如?scroll=1m。 POST /twitter
es scroll 查询
luckgl的博客
05-05 3684
代码示例: 说明: 1 version: 2.x 2 设置size大小 size为每个分片的大小,例如: 设置200,有5个shards,每次提取200×5 3 TimeValue.timeValueMinutes(1) 这个设置为查询超时时间 4 setSearchType(SearchType.Scan) 告诉ES不需要排序只要结果返回即可
ES Scroll滚动查询
MrLee_123的博客
03-29 1610
当一个index中数据量比较多时,可以使用ES提供的滚动查询API来提高查询性能。首先新建一个索引,插入一些测试数据 PUT test_scroll { "settings": { "number_of_shards": 1 , "number_of_replicas": 0 }, "mappings": { "properties": { "i...
ES 分页限制】分页最多不能超1W记录排序以及解决方案以及scrollscroll-scan区别
qfzhangwei的专栏
10-13 5000
1【理解】 1 请求第20页,假设你有16个分片,则需要在coordinate node 汇总到shards* (from+size)条记录,即需要 16*(20+10)记录后做一次全局排序,再最终取出 from后的size条结果作为最终的响应。 2 当索引非常非常大(千万或亿),是无法安装 from + size 做深分页的,分页越深则越容易OOM,即便不OOM,也是很消耗CPU和内存资源...
ES怎么查询所有的数据
04-28
还需要注意语法正确性,比如在Python代码中使用正确的Elasticsearch客户端方法。例如,helpers.scan可以自动处理scroll迭代,不需要手动管理scroll_id。这样代码会更简洁,减少出错可能。 最后,生成相关问题时要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值