elk 搜尋 語法 ELK之es常用查詢語句

2021-10-13 11:05:44 字數 3532 閱讀 9359

elasticsearch定義了兩種查詢方式

一.索引(index),type,document相關語句

1,列出所有索引狀態

get /_cat/indices?v

可以使用kibana的dev tools

health status index uuid pri rep docs.count docs.deleted store.size pri.store.size

yellow open metricbeat-6.3.1-2019.09.30 azjbaknpsp-oqcbygt9xow 1 1 53244 0 10mb 10mb

yellow open watcher_alarms aic2q3vhtledzu6ljscoja 5 1 0 0 1.2kb 1.2kb

yellow open website big3pmt4qtmx4rcii_7jqw 5 1 0 0 1.1kb 1.1kb

yellow open metricbeat-6.3.1-2019.09.29 lv8uc-h7q4grshxvckvwkg 1 1 135000 0 25.4mb 25.4mb

yellow open watcher_alarms-2019.09.27 kjoeapqxraoi17qb11el-a 5 1 1033 0 383.6kb 383.6kb

yellow open watcher_alarms-2019.09.26 gaaj8uc1qvuoxjuwau6dcg 5 1 1876 0 619.9kb 619.9kb

green open .kibana 3dftwnpiq4ymq3wynmxfpw 1 0 130 2 292.4kb 292.4kb

yellow open watcher_alarms-2019.09.28 h4kysj6lqqakyb6r7-8tza 5 1 43 0 593.6kb 593.6kb

yellow open system-log-2019.09 ucdgybmaspcjxo9-dygyog 5 1 49005 0 42.7mb 42.7mb

yellow open watcher_alarms-2019.09.29 eyds-tn4rlqopy0d1oexeq 5 1 133 0 319.9kb 319.9kb

字段說明

health:健康狀態 red,yellow,green

status:狀態open

index:索引名

uuid:唯一識別符號uuid

pri:主分片數

rep:副本數

docs.count:總計多少條日誌

docs.deleted:刪除記錄

store.size:儲存該index檔案的大小

pri.store.size:主儲存大小

2,查詢索引詳細資訊

get /index1,index2 查詢索引index1和索引index2的基本資訊

get /_all 查詢所有的基本資訊

get /s* 使用萬用字元來查詢所有以s開頭的索引資訊

3,建立索引

setting中可以設定索引的的主分片數number_of_shards預設為5,和主分片的副本數number_of_replicas預設是1;

put /my_index

"settings":

建立乙個索引gb

put /gb

"tweet" : ,

"tweet": //

post ////_update

一種是使用put方法舊資料全部覆蓋,使用新資料代替

put /gb/tweet/1

"name":"zhangsan",

"user_id":8

修改後內容

"_index": "gb",

"_type": "tweet",

"_id": "1",

"_version": 6,

"found": true,

"_source": //

刪除id為1的文件

delete /gb/tweet/1

返回"_index": "gb",

"_type": "tweet",

"_id": "1",

"_version": 14,

"result": "deleted",

"_shards": }}返回

"took": 39,

"errors": false,

"items": [

"index": }} }

修改_id為1的name欄位,刪除_id為2的資料

返回"took": 48,

"errors": false,

"items": [

"update": ///_source

示例get /gb/tweet/1/_source

返回"name": "wangwu"

三,請求體查詢

1,查詢所有文件

預設評分是1,可以通過設定boost來,由於有些**伺服器不支援get請求帶請求體,所以實際中還是要用post請求。

get /gb/_search

"query":

返回"took": 11,

"timed_out": false,

"_shards":

"from": 0,

"size": 2

從頭開始,每次顯示2條第一頁返回如下

"took": 0,

"timed_out": false,

"_shards": ],"type":"invalid_index_name_exception","reason":"invalid index name [_ilm], must not start with '_', '-', or '+'","index_uuid":"_na_","index":"_ilm"},"status":400}""",

"@version": "1",

"type": "system-log",

"host": "salt-test",

"path": "/var/log/messages",

"@timestamp": "2019-09-26t07:14:25.503z"

3,條件查詢並排序

查詢host名為salt-test的主機,只顯示message和host欄位,按時間倒序排列,從頭開始頁大小為2

get /system-log-2019.09/_search

"query": {

"match": {

"host":"salt-test"

"_source": [

"host",

"@timestamp"

"sort": [

"@timestamp": "desc"

"from": 0,

"size": 2

4,全文檢索

索引中只要有任意乙個匹配拆分後詞就可以出現在結果中,只是匹配都越高越的排越前面

get /gb/_search

"query": {

"match": {

"name":"wangwu"

elk之es核心概念

1.nrt 進實時,把資料寫入到es,到通過es搜尋這條資料中間有乙個延遲 大概一秒鐘 或者是es做分析和搜尋時可以達到秒級。2.share 分片 要了解分片就得知道集群和節點的概念 集群 概念 同乙個業務部署在多個伺服器上。es中包含多個節點,每個節點屬於哪個集群也是通過配置 集群名稱,預設ela...

elk之restful api 搜尋方式

一共6種 1.query string serch 2.query dsl 3.query filter 4.full text search 5.phrase search 6.highlight search 一,query stringsearch 概念 所有的search查詢都是在http請...

ELK之elasticdump遷移es資料

參考 elasticsearch部分查詢語句 獲取集群節點列表 列出所有索引 curl 172.16.30.55 9200 cat indices?v 如果節點安裝了search guard認證使用以下命令 curl k k取消證書驗證而使用使用者名稱和密碼驗證 安裝elasticdump wget...