《Elasticsearch In Action》学习笔记。
ES的搜索请求执行流程如图1所示。图中索引包含两个分片,每个分片有一个副本分片。在给文档定位和评分后,缺省只会获取排名前10的文档。REST API搜索请求被发送到所连接的节点,该节点根据要查询的索引,将这个请求依次发送到所有的相关分片(主分片或者副本分片)。从所有分片收集到足够的排序和排名信息后,只有包含所需文档的分片被要求返回相关内容。这种搜索路由的行为是可配置的,图1展示的默认行为,称为查询后获取(query_then_fetch)。
图1 搜索请求是如何路由的
一、搜索请求的结构
ES的搜索是基于JSON文档或者是基于URL的请求。
1. 确定搜索范围
所有的REST搜索请求使用_search的REST端点,既可以是GET请求,也可以是POST请求。既可以搜索整个集群,也可以通过在搜索URL中指定索引或类型的名称来限制范围:
代码语言:javascript复制# 无条件搜索整个集群
curl '172.16.1.127:9200/_search?pretty'
curl '172.16.1.127:9200/_all/_search?pretty'
curl '172.16.1.127:9200/*/_search?pretty'
# 无条件搜索get-together索引,类似于SQL中的select * from get-together;
curl '172.16.1.127:9200/get-together/_search?pretty'
# 在ES6中已经废弃了type的概念,所以功能同上
curl '172.16.1.127:9200/get-together/_doc/_search?pretty'
# 无条件搜索get-together、dbinfo两个索引
curl '172.16.1.127:9200/get-together,dbinfo/_doc/_search?pretty'
# 模糊匹配索引名称,包含get-toge开头的索引,但不包括get-together
curl '172.16.1.127:9200/ get-toge*,-get-together/_search?pretty'
和DB类似,为了获得更好的性能,尽可能地将查询限制在最小数量索引。每个搜索请求必须发送到所有索引分片(类似于DB中的全索引扫描),发送到越多的索引,就会涉及越多的分片。
2. 搜索请求的基本模块
类比SQL查询语句:
代码语言:javascript复制select ...
from ...
where ...
order by ...
limit ...
where <-> query
select ... <-> _source
size from <-> limit
order by <-> sort
搜索请求的基本模块如下:
- query:配置查询和过滤器DSL,限制搜索的条件,类似于SQL查询中的where子句。
- size:返回文档的数量,类似于SQL查询中的limit子句中的数量。
- from:和size一起使用,from用于分页操作,类似于SQL查询中的limit子句中的偏移量。如果结果集合不断增加,获取某些靠后的翻页将会成为代价高昂的操作。(SQL中延迟关联的思想应该也可用于ES,先搜索出某一页的ID,再通过ID查询字段。)
- _source:指定_source字段如何返回,默认返回完整的_source字段,类似于SQL中的select *。通过配置_source,将过滤返回的字段。
- sort:类似于SQL中的order by子句,用于排序,默认的排序是基于文档的得分。
下面看一些简单的例子。 (1)返回第2页的10个结果
代码语言:javascript复制# ES的from从0开始
curl '172.16.1.127:9200/get-together/_search?from=10&size=10&pretty'
(2)按日期升序排列,返回前10项结果
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?sort=date:asc&pretty'
(3)按日期升序排列,返回前10项结果中title、date的两个字段
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?sort=date:asc&_source=title,date&pretty'
(4)请求匹配了所有标题中含有“elasticsearch”的文档(按小写比较),按日期升序返回
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?sort=date:asc&q=title:elasticsearch&pretty'
3. 基于请求主体的搜索请求
前面的搜索请求都是基于URL的。当执行更多高级搜索的时候,采用基于请求主体的搜索会拥有更多的灵活性和选择性。ES推荐使用基于请求主体的搜索请求。
(1)返回第2页的10个结果
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"match_all": {}
},
"from": 10,
"size": 10
}'
(2)返回指定字段
代码语言:javascript复制# 只返回name和date字段
curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"match_all": {}
},
"_source": [
"name",
"date"
]
}'
(3)_source中使用通配符返回字段
代码语言:javascript复制# 返回location开头的字段和日期字段,但不返回location.geolocation字段
curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"match_all": {}
},
"_source": {
"include": [
"location.*",
"date"
],
"exclude": [
"location.geolocation"
]
}
}'
(4)结果排序
代码语言:javascript复制# 类似于SQL中的order by created_on asc, name desc, _score
curl -XPOST "172.16.1.127:9200/get-together/_mapping/_doc?pretty" -H 'Content-Type: application/json' -d'
{
"properties": {
"name": {
"type": "text",
"fielddata": "true"
}
}
}'
curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"match_all": {}
},
"sort": [
{
"created_on": "asc"
},
{
"name": "desc"
},
"_score"
]
}'
(5)综合搜索基础模块
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"match_all": {}
},
"from": 0,
"size": 10,
"_source": [
"name",
"organizer",
"description"
],
"sort": [
{
"created_on": "desc"
}
]
}'
类似于如下SQL查询:
代码语言:javascript复制select name, organizer, description
from get-together
order by created_on desc
limit 0, 10;
注意,如果在返回结果中某些字段的值为null,缺省在ES返回的_source中根本就不会出现该字段名称,这点与SQL是不同的。
4. 回复的结构
下面看一下ES搜索返回的数据结构。
代码语言:javascript复制curl '172.16.1.127:9200/_search?q=title:elasticsearch&_source=title,date&pretty'
结果返回:
代码语言:javascript复制{
"took" : 13, # 查询执行所用的毫秒数
"timed_out" : false, # 是否超时
"_shards" : {
"total" : 28, # 搜索的分片数
"successful" : 28, # 成功的分片数
"skipped" : 0, # 跳过的分片数
"failed" : 0 # 失败的分片数
},
"hits" : {
"total" : 7, # 匹配的文档数
"max_score" : 1.0128567, # 最高文档得分
"hits" : [ # 命中文档的数组
{
"_index" : "get-together", # 文档所属索引
"_type" : "_doc", # 文档所属类型
"_id" : "103", # 文档ID
"_score" : 1.0128567, # 相关性得分
"_routing" : "2", # 文档所属的分片号
"_source" : { # 请求的_source字段
"date" : "2013-04-17T19:00",
"title" : "Introduction to Elasticsearch"
}
},
{
"_index" : "get-together",
"_type" : "_doc",
"_id" : "105",
"_score" : 1.0128567,
"_routing" : "2",
"_source" : {
"date" : "2013-07-17T18:30",
"title" : "Elasticsearch and Logstash"
}
},
...
]
}
}
如果没有存储文档的_source或者是fields,那么将无法从ES中获取数值!
二、查询和过滤器
查询和过滤器功能上类似于SQL查询中的where子句,都是起到按查询条件筛选文档的作用,但它们在评分就机制和搜索行为的性能上有所不同。不像查询会为特定的词条计算得分,搜索的过滤器只是为“文档是否匹配这个查询”,返回简的“是”或“否”的答案。图2展示了查询和过滤器之间的主要差别。
图2 由于不计算得分,过滤器所需的处理更少,并且可以被缓存
由于这个差异,过滤器可以比普通的查询更快,而且还可以被缓存。
1. match
(1)match_all 匹配所有文档,类似于SQL中的无where条件查询。
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"match_all": {}
}
}'
在ES6中,match_all查询返回文档的_score都为1.0。
(2)match 匹配字段条件,类似于SQL中的where column='xxx'。下面的查询搜索标题中有“hadoop”字样的文档:
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"match": {
"title": "hadoop"
}
}
}'
match查询不区分大小写。在进行匹配时,词条和输入的文本都被转换成小写进行比较。match查询返回文档的_score相关性得分。
默认情况下,match查询使用OR操作符。例如,如果搜索文本“Elasticsearch Denver”,ES会搜索“Elasticsearch OR Denver”,同时匹配“Elasticsearch Amsterdam”和“Denver Clojure”。下面的查询搜索同时包含“Elasticsearch”和“Denver”关键词的结果:
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"match": {
"name": {
"query": "Elasticsearch Denver",
"operator": "and"
}
}
}
}'
(3)match_phrase 下面的查询搜索name字段中包含“enterprise london”短语,并且“enterprise”和“london”之间允许包含一个单词的文档:
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"match_phrase": {
"name": {
"query": "enterprise london",
"slop": 1
}
}
},
"_source": [
"name",
"description"
]
}'
(4)phrase_prefix 下面的例子中,phrase_prefix使用的是“Elasticsearch den”,ES使用“den”文本进行前缀匹配,查找所有name字段,发现那些以“den”开始的取值。max_expansions设置最大前缀扩展数量。由于产生的结果可能是个很大的集合,需要限制扩展的数量。
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"match_phrase_prefix": {
"name": {
"query": "Elasticsearch den",
"max_expansions": 1
}
}
},
"_source": [
"name"
]
}'
(5)multi_match 可以在多个字段中匹配多个词条,类似于SQL中的where name like '%elasticsearch%' or name like '%hadoop%' or 'description' like '%elasticsearch%' or 'description' like '%hadoop%':
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"multi_match": {
"query": "elasticsearch hadoop",
"fields": [
"name",
"description"
]
}
}
}'
就像match查询可以转化为phrase查询或者phrase_prefix查询,multi_match查询可以转化为phrase查询或者phrase_prefix查询,方法是指定type键。除了可以指定搜索字段是多个而不是单独一个之外,可以将multi_match查询当做match查询使用。
2. term
term查询和过滤器可以指定需要搜索的文档字段和词条。注意,term搜索的词条是没有经过分析的,文档中的词条必须要精确匹配才能作为结果返回。
(1)term查询
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"term": {
"tags": "elasticsearch"
}
},
"_source": [
"name",
"tags"
]
}'
(2)term过滤器 和term查询相似,可以使用term过滤器来限制结果文档,使其包含特定的词条,不过无须计算得分。
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"bool": {
"filter": {
"term": {
"tags": "elasticsearch"
}
}
}
}
}'
(3)terms查询 和term查询类似,terms查询可以搜索某个文档字段中的多个词条。例如下面的查询搜索标签含有“jvm”或“hadoop”的文档。
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"terms": {
"tags": [
"jvm",
"hadoop"
]
}
},
"_source": [
"name",
"tags"
]
}'
对于和查询匹配的文档,可以强制规定每篇文档中匹配词条的最小数量,为了实现这一点需要指定minimum_should_match参数。
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"bool": {
"minimum_should_match": 2,
"must": {
"terms": {
"tags": [
"jvm",
"hadoop",
"lucene"
]
}
}
}
}
}'
3. query_string
下面的查询搜索包含“nosql”的文档。两个查询等价,前者使用URL执行,后者使用请求主体发送:
代码语言:javascript复制curl -XGET '172.16.1.127:9200/get-together/_search?q=nosql&pretty'
curl -XPOST '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"query_string": {
"query": "nosql"
}
}
}'
默认情况下,query_string查询将会搜索_all字段,该字段是由所有字段组合而成。可以通过default_field设置字段:
代码语言:javascript复制curl -XPOST '172.16.1.127:9200/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"query_string": {
"default_field": "description",
"query": "nosql"
}
}
}'
也可以在多个字段上执行查询,此时应使用fields:
代码语言:javascript复制curl -XPOST '172.16.1.127:9200/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"query_string": {
"fields": ["description", "tags"],
"query": "nosql"
}
}
}'
下面的查询搜索所有名称中含有“nosql”的文档,但是排除了那些描述中有“mongodb”的结果:
代码语言:javascript复制curl -XPOST '172.16.1.127:9200/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"query_string": {
"query": "name:nosql AND -description:mongodb"
}
}
}'
可以使用如下命令查询所有于1999年到2001年期间创建的标签为搜索或lucene的文档:
代码语言:javascript复制curl -XPOST '172.16.1.127:9200/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"query_string": {
"query": "(tags:search OR tags:lucene) AND (created_on:[1999-01-01 TO 2001-01-01])"
}
}
}'
针对query_string查询,建议的替换方案包括term、terms、match或multi_match查询。
三、复合查询
1. bool查询
bool查询允许在单独的查询中组合任意数量的查询,指定的查询子句表明哪些部分是必须(must)匹配、应该(should)匹配或者是不能(must_not)匹配上ES索引里的数据。
下面的例子查询attendees字段中必须包含“david”,也应该包含“clint”和“andy”,并且date必须大于等于'2013-06-30'。minimum_should_match表示最小的should子句匹配数,满足这个数量的文档才能作为结果返回。minimum_should_match的默认值有一些隐藏的特性。如果指定了must子句,minimum_should_match的默认值为0。如果没有指定must子句,默认值为1。
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"bool": {
"must": [
{
"term": {
"attendees": "david"
}
}
],
"should": [
{
"term": {
"attendees": "clint"
}
},
{
"term": {
"attendees": "andy"
}
}
],
"must_not": [
{
"range": {
"date": {
"lt": "2013-06-30T00:00"
}
}
}
],
"minimum_should_match": 1
}
}
}'
可以使用下面的语句改写这个查询,它在逻辑上与上个查询等价,但只包含must一个bool查询选项,更短小。 curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d ' { "query": { "bool": { "must": [ { "term": { "attendees": "david" } }, { "range": { "date": { "gte": "2013-06-30T00:00" } } }, { "terms": { "attendees": [ "clint", "andy" ] } } ] } } }'
2. bool过滤器
bool过滤器和bool查询的表现基本一致。只是它组合的是过滤器。bool过滤器不支持minimum_should_match属性,而是使用了默认值1。
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"bool": {
"filter": {
"bool": {
"must": [
{
"term": {
"attendees": "david"
}
}
],
"should": [
{
"term": {
"attendees": "clint"
}
},
{
"term": {
"attendees": "andy"
}
}
],
"must_not": [
{
"range": {
"date": {
"lt": "2013-06-30T00:00"
}
}
}
]
}
}
}
}
}'
四、其它查询和过滤器
1. range查询和过滤器
(1)查询
代码语言:javascript复制# where created_on > 2012-06-01 and created_on < 2012-09-01
curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"range": {
"created_on": {
"gt": "2012-06-01",
"lt": "2012-09-01"
}
}
}
}'
(2)过滤器
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"bool": {
"filter": {
"range": {
"created_on": {
"gt": "2012-06-01",
"lt": "2012-09-01"
}
}
}
}
}
}'
range查询支持字符串范围,如果想搜索name在“c”和“e”之间的文档,可以使用下面的搜索:
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"range": {
"name": {
"gt": "c",
"lt": "e"
}
}
}
}'
使用range查询时,应仔细考虑一下过滤器是否为更好的选择。由于在查询范围之中的文档是二元匹配(“是的,文档在范围之中”或者“不是,文档不在范围之中”),range查询不必是查询。为了获得更好的性能,它应该是过滤器。如果不确定是查询还是过滤器,请使用过滤器。在99%的用例中,使用range过滤器是正确的选择。
2. prefix查询和过滤器
prefix查询和过滤器允许根据给定的前缀来搜索词条。这里前缀在搜索之前是没有经过分析的。例如,为了在索引中搜索title为“liber”开头的全部文档,使用下面的查询:
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"prefix": {
"title": "liber"
}
}
}'
类似地也可以使用过滤器:
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d '
{
"query": {
"bool": {
"filter": {
"prefix": {
"title": "liber"
}
}
}
}
}'
由于前缀搜索没有经过分析,前缀查询或过滤器是大小写敏感的。
3. wildcard查询
代码语言:javascript复制# 创建索引,添加两个文档
curl -XPOST '172.16.1.127:9200/wildcard-test/_doc/1?pretty' -H 'Content-Type: application/json' -d '
{
"title":"The Best Bacon Ever"
}'
curl -XPOST '172.16.1.127:9200/wildcard-test/_doc/2?pretty' -H 'Content-Type: application/json' -d '
{
"title":"How to raise a barn"
}'
# “ba*n”会匹配bacon和barn
curl '172.16.1.127:9200/wildcard-test/_search?pretty' -H 'Content-Type: application/json' -d'
{
"query": {
"wildcard": {
"title": {
"wildcard": "ba*n"
}
}
}
}'
# “ba?n”只会匹配barn,不会匹配bacon
curl '172.16.1.127:9200/wildcard-test/_search?pretty' -H 'Content-Type: application/json' -d'
{
"query": {
"wildcard": {
"title": {
"wildcard": "ba?n"
}
}
}
}'
使用这种查询时,需要注意的是wildcard查询不像match等其它查询那样轻量级。查询词条中越早出现通配符(*或?),ES就需要做更多的工作来进行匹配。
4. exists过滤器
exists过滤器允许过滤文档,只查找那些在特定字段有值的文档:
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d'
{
"query": {
"bool": {
"filter": {
"exists": {
"field": "location_event.geolocation"
}
}
}
}
}'
5. missing过滤器
missing过滤器可以搜索字段里没有值,或者是映射时指定了默认值的文档(也叫做null值,即映射里null_value)。为了搜索缺失reviews字段的文档,可以使用下面的过滤器:
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d'
{
"query": {
"bool": {
"must_not": {
"exists": {
"field": "reviews"
}
}
}
}
}'
6. 将任何查询转变为过滤器
ES允许通过query过滤器将任何查询转化为过滤器。例如,有个query_string查询搜索匹配“Elasticsearch”的名字,可以使用如下搜索将其转变为过滤器:
代码语言:javascript复制curl '172.16.1.127:9200/get-together/_search?pretty' -H 'Content-Type: application/json' -d'
{
"query": {
"bool": {
"filter": {
"query_string": {
"query": "name:"Elasticsearch""
}
}
}
}
}'
五、为任务选择最好的查询
表1为ES的常用案例中使用哪些查询的指南。
用例 | 使用的查询类型 |
---|---|
想从类似Google的界面接受用户的输入,然后根据这些输入搜索文档 | 如果想支持 /-或者在特定字段中搜索,就是用simple_query_string查询 |
想将输入作为词组并搜索包含这个词组的文档,词组中的单词也许包含一些间隔(slop) | 要查找和用户搜索相似的词组,使用match_phrase查询,并设置一定量的slop |
想在not_analyzed字段中搜索单个关键字,并完全清楚这个词应该是如何出现的 | 使用term查询,因为查询的词条不会被分析 |
希望组合许多不同的搜索请求或者不同类型的搜索,创建一个单独的搜索来处理它们 | 使用bool查询,将任意数量的子查询组合到一个单独的查询 |
希望在某个文档中的多个字段搜索特定的单词 | 使用multi_match查询,它和match查询的表现类似,不过是在多个字段上搜索 |
希望通过一次搜索返回所有的文档 | 使用match_all查询,在一次搜索中返回全部文档 |
希望在字段中搜索一定取值范围内的值 | 使用range查询,搜索取值在一定范围内的文档 |
希望在字段中搜索特定字符串开头的取值 | 使用prefix查询,搜索以给定字符串开头的词条 |
希望根据用户已经输入的内容,提供单个关键词的自动完成功能 | 使用prefix查询,发送用户已经输入的内容,然后获取以此文本开头的匹配项 |
希望搜索特定字段没有取值的所有文档 | 使用missing过滤器过滤出缺失某些字段的文档 |
表1 常用案例中使用哪些类型的查询