ES 对搜索请求,有简易语法和完整语法两种方式。简易语法作为以后在 Kibana 上最常用的方式,一定是需要学会的。而在命令行里,我们可以通过最简单的方式来做到。还是上节输入的数据:
curl -XGET http://127.0.0.1:9200/logstash-2015.06.21/testlog/_search?q=first可以看到返回结果:
{"took":240,"timed_out":false,"_shards":{"total":27,"successful":27,"failed":0},"hits":{"total":1,"max_score":0.11506981,"hits":[{"_index":"logstash-2015.06.21","_type":"testlog","_id":"AU4ew3h2nBE6n0qcyVJK","_score":0.11506981,"_source":{
"date" : "1434966686000",
"user" : "chenlin7",
"mesg" : "first message into Elasticsearch"
}}]}}还可以用下面语句搜索,结果是一样的。
curl -XGET http://127.0.0.1:9200/logstash-2015.06.21/testlog/_search?q=user:"chenlin7"querystring 语法
上例中,?q=后面写的,就是 querystring 语法。鉴于这部分内容会在 Kibana 上经常使用,这里详细解析一下语法:
- 全文检索:直接写搜索的单词,如上例中的 first;
- 单字段的全文检索:在搜索单词之前加上字段名和冒号,比如如果知道单词 first 肯定出现在 mesg 字段,可以写作 mesg:first;
- 单字段的精确检索:在搜索单词前后加双引号,比如 user:”chenlin7”;
- 多个检索条件的组合:可以使用 NOT, AND 和 OR 来组合检索,注意必须是大写。比如 user:(“chenlin7” OR “chenlin”) AND NOT mesg:first;
- 字段是否存在:exists:user 表示要求 user 字段存在,missing:user 表示要求 user 字段不存在;
- 通配符:用 ? 表示单字母,* 表示任意个字母。比如 fir?t mess*;
- 正则:需要比通配符更复杂一点的表达式,可以使用正则。比如 mesg:/mes{2}ages?/。注意 ES 中正则性能很差,而且支持的功能也不是特别强大,尽量不要使用。ES 支持的正则语法
见:https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-regexp-query.html#regexp-syntax; - 近似搜索:用 ~ 表示搜索单词可能有一两个字母写的不对,请 ES 按照相似度返回结果。比如 frist~;
- 范围搜索:对数值和时间,ES 都可以使用范围搜索,比如:rtt:>300,date:[“now-6h” TO “now”} 等。其中,[] 表示端点数值包含在范围内,{} 表示端点数值不包含在范围内;
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
