es查询 scroll_scan用法

最新推荐文章于 2025-07-12 00:03:25 发布
原创 最新推荐文章于 2025-07-12 00:03:25 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种利用Elasticsearch的Scroll Scan方法实时查询大量日志数据的技术方案。该方法通过查询一分钟前的数据来减少延迟影响,并采用特定策略获取跨天的索引名称。此外,还提供了Python实现的具体代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

需求大概是:需要实时地推送日志系统的日志消息,提供给其他同事查询使用。当前时间查询前一分钟的数据,因为数据量大,考虑用es的scroll_scan方法。

代码:

#!/usr/bin/env python
# -*- coding:utf-8 -*-
"""
查询es数据 demo
由于es数据存在一定延迟, 所以统计一分钟前的数据.
"""
import sys
import os
import requests

setting_path = (os.path.dirname(os.path.dirname(os.path.realpath(__file__))))
sys.path.insert(0, setting_path)

import json
import datetime
import logging
logger = logging.getLogger('demo')

ES_URL_PRE = "http://XXX/es/"


def request_get(url, params, timeout=2):
    """统一的request.gets函数借口,加上异常处理.
    Note: 适用于返回数据为json字符串的cgi接口.

    """
    try:
        r = requests.get(url=url, params=params, timeout=timeout)
        if r.ok:
            ret = r.json()
            return ret
        else:
            logger.error('{0} faild, code: {1}, cause: {2}'\
                .format(url, r.status_code, r.text[:200]))
    except requests.exceptions.ConnectionError:
        logger.exception('connection error: %s' % (url, ))
    except requests.exceptions.RequestException:
        logger.exception('request {0} error'.format(url))
    return {}


def requests_post(url, data, timeout=2):
    """统一的requests.post函数接口,加上异常处理.
    Note: 适用于返回数据为json字符串的cgi接口.
    """
    try:
        r = requests.post(url=url, data=data, timeout=timeout)
        if r.ok:
            ret = r.json()
            return ret
        else:
            logger.error('{0} faild, code: {1}, cause: {2}'\
                         .format(url, r.status_code, r.text))
    except requests.exceptions.ConnectionError:
        logger.exception('connection error: %s' % (url, ))
    except Exception:
        logger.exception('request {0} error'.format(url))
    return {}


def gen_index(date, name="logstash"):
    return '{0}-{1}'.format(name, date.strftime('%Y.%m.%d'))


def get_exact_index_name(from_time, to_time, name="logstash"):
    """获取精确的index名称"""
    from_time -= datetime.timedelta(hours=8)
    to_time -= datetime.timedelta(hours=8)

    day = to_time.day - from_time.day
    if day >= 1:
        indexs = []
        for idx in range(day + 1):
            indexs.append(gen_index(from_time + datetime.timedelta(days=idx), name))
        index_name = ",".join(indexs)
    else:
        index_name = gen_index(to_time, name)
    return index_name


def get_query_data(from_time, to_time, should_terms):
    should = []
    for item in should_terms:
        should.append({"term": item})

    query_template = {
        "query": {
            "filtered": {
                "filter": {
                    "bool": {
                        "should": should
                    },
                },
            "query": {
                    "range": {
                        "@timestamp": {
                            "gte": from_time,
                            "lt": to_time,
                            "time_zone": "+08:00"
                        }
                    }
                }
            }
        }
    }
    return json.dumps(query_template)


def get_type_data(from_time, to_time, type_name, size=500):
    index_name = get_exact_index_name(from_time, to_time)
    initial_url = ES_URL_PRE + "{0}/{1}/_search/?scroll=2m&size={2}&search_type=scan".format(index_name, type_name, size)

    messages, counts = [], 0
    should_terms = [{"opt": "1_1"}, {"opt": "4_12"}]
    data = get_query_data(from_time.strftime("%Y-%m-%dT%H:%M:%S"),
                          to_time.strftime("%Y-%m-%dT%H:%M:%S"),
                          should_terms)
    rets = requests_post(initial_url, data, timeout=2)
    if not rets:
        return messages, counts
    scroll_id, counts = rets.get("_scroll_id", ""), rets.get("hits", []).get("total", 0)
    if not counts:
        return messages, counts
    scroll_url = ES_URL_PRE + "_search/scroll?"
    while True:
        params = {'scroll_id': scroll_id, "scroll": "2m", "size": size}
        res = request_get(scroll_url, params=params, timeout=1)
        hits = res.get("hits", {}).get("hits", [])
        if not hits:
            break
        for hit in hits:
            messages.append(hit.get("_source", {}))
        scroll_id = res.get("_scroll_id", "")
    return messages, counts


def main(from_time, to_time):
    type_name = "bilog"
    size = 1000
    messages, counts = get_type_data(from_time, to_time, type_name, size=size)
    return messages, counts


if __name__ == "__main__":
    start_time = datetime.datetime.now()
    to_time = start_time.replace(second=0, microsecond=0) \
        - datetime.timedelta(minutes=1)

    from_time = (to_time - datetime.timedelta(minutes=1))
    messages, counts = main(from_time, to_time)
    end_time = datetime.datetime.now()
    print end_time-start_time


es】使用ElasticSearch的44条建议 性能优化
九师兄
05-26 4384
1.概述 转载:使用ElasticSearch的44条建议 建议去看原文,这里是防丢失 在搜索业务上摸爬滚打3年,使用的Es版本也从1.x升级到了5.x,扮演的角色也逐渐从Es的使用方变为维护方,这里大致汇总了使用Es过程中踩的一些坑以及一些注意事项,也会穿插一下我们的解法。 01 — es中建索引是指创建一个保存数据的目录,用于保存倒排索引,索引创建之后是不可变的(Immutable),只允许新增字段。 因为lucene中field是带类型的,不同类型的字段进入倒排索引后会经过压缩,long/int/.
实习成长之路:关于ElasticSearch深度分页带来的思考,如何解决深度分页和跳页
萌新Java工程师
03-18 3203
ElasticSearch的深度分页带来的问题,一些思考,
ESscroll技术
Xlucas的博客
11-16 8477
如果一次性要查询出一大批的数据,那么性能会很差,此时一般采用scoll滚动查询,一批一批的查询,直到所有的数据查询完成 使用scoll滚动搜索,可以先搜索一批数据,然后下次再搜索一批数据,以此类推,直到搜索出全部的数据来 scoll搜索会在第一次搜索的时候,保存一个当时的视图快照,之后只会基于该旧的视图快照提供数据搜索,如果这个期间数据变更,是不会让用户看到的 采用基于_doc进行排序的方式,性能...
es中的scan and scroll搜索
mgxcool的专栏
11-18 4165
es上搜索数据时,默认es只会返回10条文档,当我们想获取更多结果,或者只要结果中的一个区间的数据时,可以通过szie和from来指定。 GET /_search?size=3&from=20如上的查询语句,会返回排序后的结果中第20到第22条数据。es在收到这样的一个请求之后,每一个分片都会返回一个top22的搜索结果,然后将这些结果汇总排序,再选出top22,最后取第20到第22条数据作为
Elasticsearch 滚动(Scroll用法、使用场景及与扫描(Scan)的区别
最新发布
专注大数据、云计算、人工智能、机器人领域技术传播
07-12 756
Elasticsearch7.x中扫描(Scan)与滚动(Scroll)机制解析 摘要:本文针对Elasticsearch7.x版本深入分析扫描和滚动两种大数据检索机制。滚动(Scroll)通过创建搜索结果快照实现有序全量数据遍历,适用于需要排序的业务场景;扫描(Scan)作为禁用排序的特殊滚动模式,更适用于数据迁移等无需排序的场景。文章详细对比了两者在排序特性、性能表现、结果顺序等方面的核心差异,并给出了具体使用方法与注意事项,包括初始化请求、批量获取流程和资源清理等重要环节,为开发者处理大规模数据检索提
ES(Elasticsearch)scroll查询获取所有数据的某个字段
weixin_43697585的博客
11-21 9340
在ElasticSearch中实现分页查询的方式有两种,分别为深度分页(from-size)和快照分页(scroll) 快照分页(scroll)        相对于from和size的分页来说,使用scroll可以模拟一个传统数据的游标,记录当前读取的文档信息位置。这个分页的用法,不是为了实时查询数据,而是为了一次性查
Elasticsearch使用Scroll-Scan实现数据遍历
王浩的技术博客
07-12 1万+
Elasticsearch 是一个实时的分布式搜索与分析引擎,被广泛用来做全文搜索、结构化搜索、结果分析。在实际应用中有时需要遍历某个索引的全部数据,这时使用分页检索的形式效率会比较差。       分页检索即from-size形式,from指的是从哪里开始拿数据,size是结果集中返回的文档个数。from-size的工作原理是:如size=10&from=100,那么Elasticsearch
python elasticsearch scroll scan 滚动 翻页
shooke笔记
11-02 2099
from elasticsearch import Elasticsearch es = Elasticsearch([ 'http://conf:9200/' ]) page = es.search( index ='ware_index', doc_type ='ware_type', scroll ='2m', search_type ...
Elasticsearch 使用java分页查询条数超过1w的解决办法 -scroll_id方式
ssdlleave的专栏
05-29 3477
1.需求:查询es近3个月数据取出并进行重新推送。 问题:原使用java分页查询es。可是到1w条数据后就会自动停止无法查询1w之后的数据。 原查询方法: /** * @description: 查询轨迹信息 * @param billTraceSearchVo * @param page * @date: 2020/5/28 15:06 * @author: ss * @return: java.util.List<cn.uce.core.elasticse...
如何使用python访问Elasticsearch并实现大批量查询
狸克先生的笔记本
05-27 7589
问题背景: 近期的工作中,获取应用日志数据时,发现采用的是elk架构的日志服务器,需要访问ElasticSearch服务器来查询所需要的日志数据 自己也是第一次接触elk,因此走了不少的弯路,主要遇到的问题有: 1、Python如何连接es服务器——elasticsearch库 2、如何发送查询语句,获取查询结果——DSL查询语言 3、查询结果较多时,如何进行查询和保存——scroll方法 4、网络异常/查询失败时,如何自动重连——try+catch+while语法 在爆肝了几个晚上之后,总算把以上的全部问
Elasticsearch--scan and scroll
u014431852的博客
10-16 5216
scan(扫描)搜索类型是和scroll(滚屏)一起使用来从Elasticsearch里高效地连续性取回巨大数量的结果而不需要付出深分页的代价。
es scroll 时间_es查询scroll_scan使用方法
weixin_39582724的博客
02-06 541
需求大概是:需要实时地推送日志系统的日志消息,提供给其他同事查询使用。当前时间查询前一分钟的数据,因为数据量大,考虑用esscroll_scan方法。代码:#!/usr/bin/env python# -*- coding:utf-8 -*-"""查询es数据 demo由于es数据存在一定延迟, 所以统计一分钟前的数据."""import sysimport osimport requestss...
ES - 滚动查询(scroll)
热门推荐
莫莫绵的博客
07-14 2万+
Elasticsearch-scroll滚动查询适合那种需要一次性或分批拉出大量数据做离线处理、迁移等。比起from、size分页查询可以提升点效率。不过不要再前端分页实时查询的时候使用哦!
ElasticSearch 的 from+size、scrollscroll-scan、sliced scroll-sacn、search after
itakyubi的博客
09-14 2313
参考文章: 使用scroll实现Elasticsearch数据遍历和深度分页 Elasticsearch 5.x 源码分析(3)from size, scroll 和 search after ElasticSearch官方文档 Elasticsearch搜索类型讲解 理解“query then fetch”和“dfs query then fetch” 目录 1、ElasticSe...
ES--深分页Scroll
chbxw
03-31 3189
一、前言 1.1、scroll与from+size区别 之前讲过from+size的分页,为何又有scroll+size的深分页呢?这里先对比一下两者的区别; ES对于from+size的个数是有限制的,二者之和不能超过1w。当所请求的数据总量大于1w时,可用scroll来代替from+size。 from+size在ES查询数据的方式步骤如下: 1、先将用户指定的关键字进行分词; 2、将词汇去分词库中进行检索,得到多个文档的id; 3、去各个分片中拉取指定的数据,相对耗时较长; 4、将数据根据score
ES实战】Search的滚动查询Scroll
有文档被优快云自动升级成了VIP免费,需要调整的可以私信
11-26 1万+
滚动查询Scroll) 虽然搜索请求返回结果是单个“页面”,但scroll API 可用于从单个搜索请求中检索大量结果(甚至所有结果),其方式与在传统数据库使用相似。 scrolling不是用于实时用户请求,而是用于处理大量数据,例如:为了将一个索引的内容重新索引到具有不同配置的新索引中。 为了使用滚动,初始搜索请求应该在查询字符串中指定scroll参数,它告诉 Elasticsearch 它应该保持“搜索上下文”多长时间(请参阅保持搜索上下文活着),例如?scroll=1m。 POST /twitter
es scroll 查询
luckgl的博客
05-05 3684
代码示例: 说明: 1 version: 2.x 2 设置size大小 size为每个分片的大小,例如: 设置200,有5个shards,每次提取200×5 3 TimeValue.timeValueMinutes(1) 这个设置为查询超时时间 4 setSearchType(SearchType.Scan) 告诉ES不需要排序只要结果返回即可
ES Scroll滚动查询
MrLee_123的博客
03-29 1610
当一个index中数据量比较多时,可以使用ES提供的滚动查询API来提高查询性能。首先新建一个索引,插入一些测试数据 PUT test_scroll { "settings": { "number_of_shards": 1 , "number_of_replicas": 0 }, "mappings": { "properties": { "i...
ES 分页限制】分页最多不能超1W记录排序以及解决方案以及scrollscroll-scan区别
qfzhangwei的专栏
10-13 5000
1【理解】 1 请求第20页,假设你有16个分片,则需要在coordinate node 汇总到shards* (from+size)条记录,即需要 16*(20+10)记录后做一次全局排序,再最终取出 from后的size条结果作为最终的响应。 2 当索引非常非常大(千万或亿),是无法安装 from + size 做深分页的,分页越深则越容易OOM,即便不OOM,也是很消耗CPU和内存资源...
ES怎么查询所有的数据
04-28
<think>好的,用户想了解如何在Elasticsearch中获取所有数据。之前我提供的回答里提到了使用分页查询配合scroll API或者search_after的方法,但可能需要更详细地解释步骤。 首先,用户可能知道默认情况下Elasticsearch只返回前10条结果,所以需要调整分页参数。不过直接设置很大的size值并不可靠,尤其是数据量大的时候,性能会受影响,甚至导致超时。这时候需要更有效的方法。 根据引用[2],Java实现中提到scroll API可以高效获取大量数据。Python中应该也有对应的实现。需要确认Elasticsearch的Python客户端是否支持scroll。另外,search_after参数也是一个选项,适合深度分页,但需要排序字段。 我应该分步骤说明两种方法:使用scroll API和使用search_after。同时,提醒用户注意性能问题,比如scroll上下文会占用资源,需要及时清理。可能还要提到在Python中如何具体实现,比如使用helpers.scan函数,这样可以简化流程。 另外,引用[3]提到时间区间查询,但用户的问题是关于所有数据,所以可能不需要时间条件。不过可以提一下如果需要结合过滤条件的话,可以如何修改查询体。 还需要注意语法正确性,比如在Python代码中使用正确的Elasticsearch客户端方法。例如,helpers.scan可以自动处理scroll迭代,不需要手动管理scroll_id。这样代码会更简洁,减少出错可能。 最后,生成相关问题时要考虑用户可能的后续疑问,比如性能优化、不同方法的适用场景、如何处理大数据量导出等。确保问题覆盖用户可能的需求扩展。</think>### Elasticsearch查询所有数据的实现方式 在Elasticsearch中查询所有数据需要特殊处理,因为默认返回结果仅包含前10条记录[^2]。以下是两种常用方法及其实现步骤: --- #### 方法一:使用Scroll API(适合大数据量) 1. **原理** Scroll API通过创建游标(cursor)保持索引快照,允许分批次拉取数据,避免单次查询过载。 2. **Python实现代码** ```python from elasticsearch import Elasticsearch, helpers ES_CONFIG = { 'hosts': ['http://localhost:9200'], 'index': 'your_index', 'scroll_time': '5m', 'page_size': 1000 } def query_all_with_scroll(): es = Elasticsearch(ES_CONFIG['hosts']) # 初始化查询 query_body = {"query": {"match_all": {}}} result = es.search( index=ES_CONFIG['index'], body=query_body, size=ES_CONFIG['page_size'], scroll=ES_CONFIG['scroll_time'] ) scroll_id = result['_scroll_id'] total = result['hits']['total']['value'] data = result['hits']['hits'] # 循环拉取剩余数据 while len(data) < total: result = es.scroll(scroll_id=scroll_id, scroll=ES_CONFIG['scroll_time']) scroll_id = result['_scroll_id'] data.extend(result['hits']['hits']) # 清理scroll上下文 es.clear_scroll(scroll_id=scroll_id) return [hit['_source'] for hit in data] ``` --- #### 方法二:使用Search After(适合深度分页) 1. **原理** 通过排序字段(如`_id`或时间戳)标记分页位置,避免传统分页的性能问题[^3]。 2. **Python实现示例** ```python def query_all_with_search_after(): es = Elasticsearch(ES_CONFIG['hosts']) query_body = { "query": {"match_all": {}}, "sort": [{"_id": "asc"}], "size": ES_CONFIG['page_size'] } all_data = [] search_after = None while True: if search_after: query_body['search_after'] = search_after result = es.search(index=ES_CONFIG['index'], body=query_body) hits = result['hits']['hits'] if not hits: break all_data.extend([hit['_source'] for hit in hits]) search_after = hits[-1]['sort'] return all_data ``` --- #### 注意事项 1. **性能优化** - Scroll API会占用服务器资源,需设置合理的`scroll_time`并及时清理上下文。 - 使用`_doc`排序(如`"sort": ["_doc"]`)可提升Scroll性能[^2]。 2. **替代方案** 若仅需导出数据,可使用`elasticsearch-dump`工具或`helpers.scan`简化流程: ```python # 使用helpers.scan简化代码 all_data = list(helpers.scan(es, query=query_body, index=ES_CONFIG['index'])) ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值