elasticsearch聚合及查询详细报文

最新推荐文章于 2024-06-02 16:35:03 发布
最新推荐文章于 2024-06-02 16:35:03 发布
阅读量1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36101933/article/details/85046443
本文介绍了如何使用Elasticsearch进行复杂查询和聚合操作,包括基于JSON报文的查询示例,涉及must、should、mustnot和wildcardQuery等查询类型。同时探讨了分组和聚合的应用,如TermsAggregation,以及在不同索引数量和分片大小下的性能影响。文章强调了合理设置索引和分片的重要性,以及在跨索引查询和聚合操作中的注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文基于elasticsearch java客户端elasticsearch-5.5.2.jar

在工作中遇到一些问题,存储大量数据,本来是计划用OpenTSDB存储这些数据,因为这些数据可以描述为点,具有比较明确的时序特性,但实际中用的OpenTSDB不稳定,并且调研发现ES也可以存这批数据,相对来讲扩展性更好,但需要做好跨索引的工作。

查询

json报文格式:

{
  "query": {
    "bool": {
      "must": [   
        {
          "term": {
            "src": "10.10.169.145" 
          }
        },
        {
          "term": {
            "app": "中文"
          }
        },
        {
          "term": {
            "appid": "test"
          }
        },
        {
          "range": {
            "timestamp.long": {
              "gt": "1544510518758",
              "lt": "1544511518758"
            }
          }
        }
      ],
      "should": [
        {
          "term": {
            "id": "test.id"
          }
        }
      ]
    }
  },
  "from": 0,
  "size": 10000,
  "sort": [],
  "aggs": {
    
    }
  }
}

以上报文匹配appid为test,app为中文,src为10.10.169.145,timestamp时间范围为1544510518758到1544511518758,并且id可以为test.id的文档,其中包括must查询和should查询,must查询为全匹配,should可以理解为或,其它查询还有mustnot为非,wildcardQuery查询为模糊匹配。

String index = "index";
String aes1 = "x*";
String aes2 = "g*";
String appid="";
String appgroup="";
long startTime = Long.parseLong(start);
long endTime = Long.parseLong(end);

BoolQueryBuilder queryBuilder = QueryBuilders.boolQuery();
queryBuilder.must(QueryBuilders.wildcardQuery("src",  aes1));
queryBuilder.must(QueryBuilders.wildcardQuery("target",  aes2));
queryBuilder.must(QueryBuilders.termQuery("appid", appid));
queryBuilder.must(QueryBuilders.termQuery("appgroup", appgroup));
queryBuilder.must(QueryBuilders.rangeQuery("timestamp").gte(startTime).lte(endTime));

ESClient client = new ESClient("127.0.0.1:9300", "");  // 连接到客户端
SearchResponse sResponse  = client.getClient().prepareSearch(index)  // 要查询的索引,如果是跨索引查询输入String数组
                .setTypes(IndexMgr.TEST_Table)  // table类型,索引之下的一个类型,对应放数据时候的类型
                .setSearchType(SearchType.DFS_QUERY_THEN_FETCH) //查询方式
                .setQuery(queryBuilder)  //查询条件
                .setSize(10000)  // 返回的doc的个数
                .get(TimeValue.timeValueMillis(5000));  // 超时时间

分组及聚合

有时候查询的时候需要用的分组,并且聚合的情况

{
    "query":{
        "bool":{
            "must":[
                {
                    "term":{
                        "src":"10.10.169.145"
                    }
                },
                {
                    "term":{
                        "app":"中文"
                    }
                },
                {
                    "term":{
                        "appid":"test"
                    }
                },
                {
                    "range":{
                        "timestamp.long":{
                            "gt":"1544510518758",
                            "lt":"1544511518758"
                        }
                    }
                }
            ],
            "should":[
                {
                    "term":{
                        "id":"test.id"
                    }
                }
            ]
        }
    },
    "from":0,
    "size":0,
    "sort":[

    ],
    "aggs":{
        "urilist":{
            "terms":{
                "field":"uri"
            },
            "aggs":{
                "total":{
                    "sum":{
                        "field":"total"
                    }
                },
                "add":{
                    "sum":{
                        "field":"add"
                    }
                }
            }
        }
    }
}

以上是一个查询并且聚合的报文,query中是查询文档的一系列条件,aggs中是分组和聚合相关报文,urilist为分组的名字,自己取名,uri为分组的字段,里面还有个aggs,代表对已经分组的文档进行内部聚合,这里的聚合对total和add两个字段作了加和。

    String index = "index";
    String aes1 = "x*";
    String aes2 = "g*";
    String appid="";
    String appgroup="";
    long startTime = Long.parseLong(start);
    long endTime = Long.parseLong(end);
    
    BoolQueryBuilder queryBuilder = QueryBuilders.boolQuery();
    queryBuilder.must(QueryBuilders.wildcardQuery("src",  aes1));
    queryBuilder.must(QueryBuilders.wildcardQuery("target",  aes2));
    queryBuilder.must(QueryBuilders.termQuery("appid", appid));
    queryBuilder.must(QueryBuilders.termQuery("appgroup", appgroup));
    queryBuilder.must(QueryBuilders.rangeQuery("timestamp").gte(startTime).lte(endTime));
    
   TermsAggregationBuilder srclist =    AggregationBuilders.terms("urilist").field("uri").size(10000);  // 设置返回的分组数,如果不设置默认是10
    AggregationBuilder total =AggregationBuilders.sum("total").field("total");
    AggregationBuilder add =AggregationBuilders.sum("add").field("add");
    srclist.subAggregation(total);
    srclist.subAggregation(add);

    ESClient client = new ESClient("127.0.0.1:9300", "");  // 连接到客户端
    SearchResponse sResponse  = client.getClient().prepareSearch(index)  // 要查询的索引,如果是跨索引查询输入String数组
                    .setTypes(IndexMgr.TEST_Table)  // table类型,索引之下的一个类型,对应放数据时候的类型
                    .setSearchType(SearchType.DFS_QUERY_THEN_FETCH) //查询方式
                    .setQuery(queryBuilder)  //查询条件
                    .setSize(0)  // 返回的doc的个数为0,因为只需要分组结果
                    .addAggregation(agg) //添加聚合
                    .get(TimeValue.timeValueMillis(5000));  // 超时时间

TermsAggregation聚合器默认是查询top N的项目,如果不设置聚合大小,默认是10。

相关测试及注意问题

  1. 索引分片大小合适的大小为50G左右
  2. 跨索引查询的情况下,会比单索引情况下慢,以下单索引查询,跨20个索引,跨60个索引查询,以及各文档个数情况下测试的一些数据(没有足够考虑缓存的情况下,不能说很精确),但能看出几个趋势:
  • 单索引查询情况下在测试文档个数范围内,文档个数对查询效率的影响比较小;
  • 多索引查询比单索引查询慢,大概在3到5倍
  • 同文档数情况下聚合比查询要快(可以看看倒排索引相关文档,我理解为已经天然分好了组)
  • 单索引聚合和多索引聚合相比,多索引聚合要慢,但差距比多索引查询比单索引查询小很多(1到2倍)
  1. 建立合适的索引,做好分索引的工作,如果数据不长期存放是最好的
    在这里插入图片描述

在这里插入图片描述

ES快速入门(十一)ElasticSearch7.X 查询
胡耕永的专栏
01-10 696
本篇文的主要讲解ElasticSearch查询 一、搜索 1.搜索全部 格式:GET localhost:9200/{索引库名称}/{文档类型}/_search(默认返回10条数据) GET localhost:9200/blog/doc/_search 2.根据id搜索 格式: GET localhost:9200/{索引库名称}/{文档类型}/[文档ID] GET localhost:9200/blog/doc/AJ7Q4XYBJLDL-xeLZ3Nf 3.查询返回自定义
springboo集成bboss-elasticsearch实现elasticsearch客户端
LoveFly826的博客
03-27 2196
内容简介 首先说明本文要实现的内容: 1.比较bboss-elasticsearch和springboot自带的spring-boot-starter-data-elasticsearch优缺点 2.如果实现数据库数据全量、增量的导入到elasticsearch服务器中 3.将excel、word、ppt、pdf等文件解析到elasticsearch服务器中 4.通过json文件生生成mappin...
Elasticsearch中文名聚合分组
Jerry.zh的博客
11-30 1013
Elasticsearch中文名聚合分组 在用Elasticsearch对中文字段进行聚合统计的时候,出现中文被分词的情况,这个时候需要设个需要被聚合字段的mapping属性。 请求地址:http://192.168.0.1:9200/index/_mapping/type/ { "properties": { "author": { "type": &a
elasticsearch 字段聚合查询
qqjjjaa11的专栏
09-04 1169
1. elasticsearch中字段site表示不同的点,需要统计点的个数。实现通过去重,在聚合 request body: { "size":0, "aggs" : { "distinct_colors" : { "cardinality" : { "field" : "site" ...
elasticsearch 学习总结 - 请求交互
zhupenghui176的博客
07-21 194
2、 elasticsearch 交互 elasticsearch 支持 restful api 的请求标准 请求结构体如下 请求格式:curl -X<VERB> '<PROTOCOL>://<HOST>:<PORT>/<PATH>?<QUERY_STRING>' -d '<BODY>' VERB http 的请求方式 GET POST PUT DELETE .
ES聚合查询
weixin_44090537的博客
01-11 572
ElasticSearch实现聚合复杂条件查询Demo
es聚合查询
可为的专栏
08-22 1735
es常用聚合查询
en~Elastic Search拿去吧
最新发布
qq_45838796的博客
06-02 924
所以,搜索引擎会将正向索引重新构建为倒排索引,即把文件ID对应到关键词的映射转换为关键词到文件ID的映射,每个关键词都对应着一系列的文件,这些文件中都出现这个关键词。分片是es最小的工作单元,传统的数据库每个字段存储单个值,但这对全文检索并不够,文本字段中的每个单词需要被搜索,对数据库意味需要单个字段的索引多值能力,最好支持是一个字段多个值需求的数据结构是倒排索引。所谓的正向索引,就是搜索引擎会将待搜索的文件都对应一个文件ID,搜索时将这个ID和搜索关键字进行对应,形成K-V对,然后对关键字进行统计计数。
Elasticsearch系列---相关性评分算法及正排索引
黄鹰的专栏
01-05 1721
概要 上一篇中多次提到了按相关性评分,本篇我们就来简单了解一下相关性评分的算法,以及正排索引排序的优势。 评分算法 Elasticsearch进行全文搜索时,Boolean Model是匹配的基础,先用boolean model将匹配的文档挑选出来,然后再运用评分函数计算相关度,参与的函数如我们提到的TF/IDF、Length Norm等,再加上一些控制权重的参数设置,得到最后的评分。 Boole...
es与java交互的jar包_Elasticsearch系列---Java客户端代码Demo
weixin_42122306的博客
02-27 1061
前言前面历经33篇内容的讲解,与ES的请求操作都是在Kibana平台上用Restful请求完成的,一直没发布Java或python的客户端代码,Restful才是运用、理解ES核心功能最直接的表达方式,但实际项目中肯定是以Java/python来完成ES请求的发起与数据处理的,前面理解了ES的核心功能,后面Java API的使用将会非常简单,剩余的未覆盖的功能API,自行阅文档即可。概要本篇讲解...
认识ElasticSearch的API,并深入Search的使用
chuiku1691的博客
02-28 2576
0.引言 本文罗列介绍了ES提供的公共API,重点围绕数据检索主题相关API进行说明总结。 1.概述 Elasticsearch提供全功能的RESTful API。以基于HTTP协议传输交换JSON数据的方式,向用户提供访问服务。 具体的访问方式可按照参数的提交方法区分为以下两种: 通过UR...
Elasticsearch系列---初识搜索
黄鹰的专栏
12-20 1197
概要 本篇主要介绍搜索的报文结构含义、搜索超时时间的处理过程,提及了一下多索引搜索和轻量搜索,最后将精确搜索与全文搜索做了简单的对比。 空搜索 搜索API最简单的形式是不指定索引和类型的空搜索,它将返回集群下所有索引的所有文档(默认显示10条): GET /_search 响应的结果示例(有筛选,只取了一条document作为示例): { "took": 2, "timed_out": f...
ES(Elasticsearch)概述及基本使用方法
weixin_68138130的博客
11-09 6377
ES(Elasticsearch)概述及基本使用方法
Elasticsearch 权威教程 - 请求体查询
uxff的专栏
02-28 532
请求体查询 简单查询语句(lite)是一种有效的命令行adhoc查询。但是,如果你想要善用搜索,你必须使用请求体查询(request body search)API。之所以这么称呼,是因为大多数的参数以JSON格式所容纳而非查询字符串。 请求体查询(下文简称查询),并不仅仅用来处理查询,而且还可以高亮返回结果中的片段,并且给出帮助你的用户找寻最好结果的相关数据建议。 空查询 我们以最简...
es之模板查询
qq_35184296的博客
01-15 5062
es 模板查询
ES常见查询示例
guaotianxia的博客
04-18 3万+
一、ES查询示例 1、看es信息 GET / 2、创建索引 PUT demo_person 3、删除索引 DELETE demo_person 说明: DELETE /index_one,index_two --删除两个索引 DELETE /index_* --删除index_k开头的索引 DELETE /_all --删除全部索引 DELETE /* --删除全部索引 4、创建索引包含setting和mapping PUT demo_person {...
Elasticsearch java api 常用查询方法QueryBuilder构造举例
热门推荐
star
07-03 3万+
Elasticsearch java api 常用查询方法 QueryBuilder 构造举例环境 Elasticsearch 版本 5.1.1
ElasticSearch初步学习,管理索引(入门二)
wangwuyilove的专栏
02-15 3496
前一篇说了,怎么通过java客户端来创建索引,下面就记录下怎么来管理索引,包括mapping和删除等,(使用的版本是2.1.0) 官方api 官方api https://www.elastic.co/guide/en/elasticsearch/client/java-api/2.x/index.html 一、删除索引       1、根据indexName、typeName、id来删除
Elasticsearch 聚合字段后 获取聚合字段的单条详细信息
weixin_30872337的博客
01-02 951
最近工作中遇到一个需求 需要统计一段时间内 用户某个特定操作的次数,然后还要显示出用户昵称。 开始觉得很简单,想着聚合一下用户ID 结果就出来了, { "query": { "bool": { "must": [ { "term": { "operatetype": "ceshi" ...
Elasticsearch聚合查询实现分页优化
Elasticsearch聚合查询中,我们不能直接使用`from`和`size`,因为这可能导致性能问题。为了实现聚合后的分页,我们需要在聚合层次上处理分页,而不是在查询层面。 一种常见的方法是使用`bucket_sort`聚合,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值