elasticsearch+kibana+logstash

您不能仅通过复制其所有节点的数据目录来备份 Elasticsearch 集群。 Elasticsearch 可能正在运行时对其数据目录的内容进行更改；复制其数据目录不能期望捕获其内容的一致。如果尝试从此类备份还原群集，则该群集可能会失败并报告损坏和/或丢失文件。另外，它或许成功…

在较小的集群中，最重要的是要能够抵抗单节点故障。本节提供一些指导，使集群对单个节点的故障尽可能地具有弹性。 如果您的集群由一个节点组成，则该单个节点必须执行所有操作。为了适应这一点，Elasticsearch 默认为节点分配每个角色。 单节点集群没有弹性。如果节点发生故障，集群…

诸如 Elasticsearch 之类的分布式系统，旨在即使它们的某些组件出现故障也可以继续工作。只要有足够的连接良好的节点来接管其职责，如果 Elasticsearch 群集的某些节点不可用或已断开连接，它们就可以继续正常运行。 弹性群集的大小有一个限制。所有 Elastic…

您的数据对您很重要。确保其安全和可用对 Elasticsearch 很重要。有时，您的群集可能会遇到硬件故障或断电。为了帮助您 Elasticsearch 提供了许多功能，即使出现故障也可以实现高可用性。 通过适当的计划，可以设计集群有弹性以应对许多常见问题，例如单个节点的丢失…

为了防止硬件故障并提高搜索容量，Elasticsearch 可以跨多个节点上的多个分片存储索引数据的副本。此过程称为搜索分片路由或路由。 默认情况下，Elasticsearch 使用自适应副本选择来路由搜索请求。此方法使用分片分配意识和以下条件选择合格的节点： 自适应副本选择旨…

要搜索多个数据流和索引，请将其作为逗号分隔的值添加到搜索 API 的请求路径中。 以下请求搜索 my-index-000001 和 my-index-000002 索引。 您还可以使用索引模式搜索多个数据流和索引。 以下请求针对 my-index-* 索引模式。该请求将搜索群集…

默认情况下，搜索响应中的每个命中结果都包含文档 _source ，这是在为文档建立索引时提供的整个 JSON 对象。要检索搜索响应中的特定字段，可以使用 fields 参数： fields 参数同时查阅文档的 _source 和索引映射以加载和返回值。因为它利用了映射，所以与直…

parent-join 和 nested 功能允许返回在不同范围的匹配文档。在父/子情况下，根据子文档中的匹配返回父文档，或者根据父文档中的匹配返回子文档。在嵌套的情况下，将根据嵌套内部对象中的匹配返回文档。 在这两种情况下，不同范围中的实际匹配项导致将要返回的文档被隐藏。在许…

默认情况下，搜索会返回前 10 个匹配的匹配项。要浏览更大的一组结果，可以使用 search API 的 from 和 size 参数。 from 参数定义要跳过的匹配数，默认为 0 。size 参数是要返回的最大匹配数。这两个参数共同定义了结果页面。 避免过度使用 from …

文档和索引的概述章节的内容表明，当文档存储在 Elasticsearch 中时，将在 1 秒内以几乎实时地可以对其进行索引和完全搜索。什么定义了近实时搜索？ Lucene 是 Elasticsearch 所依仗的底层 Java 库，它引入了按段搜索的概念。段类似于倒排索引，但是…

将布尔查询与 filter 子句一起使用。搜索请求将布尔过滤器应用于搜索结果和汇总。 使用搜索 API 的 post_filter 参数。搜索请求仅将 post filters 应用于搜索命中，而不应用于汇总。您可以使用 post filter 根据更广泛的结果集计算聚合，然后…

您可以使用 collapse 参数根据字段值折叠搜索结果。折叠是通过每个折叠键仅选择排序最靠前的文档来完成的。 例如，以下搜索按 user.id 折叠结果，并按 http.response.bytes 对其进行排序。 WARNING: 响应中的总命中数表示没有折叠的匹配文档数。…

segment file: 众所周知，Elasticsearch 存储的基本单元是 shard ， ES 中一个 Index 可能分为多个 shard ， 事实上每个 shard 都是一个 Lucence 的 Index ，并且每个 Lucence Index 由多个 Segm…

Elasticsearch 通常允许您快速搜索大量数据。 在某些情况下，搜索可能在许多分片上执行，可能针对冻结的索引并跨越多个远程群集，因此预期结果不会在毫秒内返回。 当您需要执行长时间运行的搜索时，同步等待返回结果是不理想的。 相反，异步搜索使您可以提交异步执行的搜索请求，监…

搜索查询是对 Elasticsearch 数据流或索引中的数据信息的请求。 您可以将查询视为一个问题，以 Elasticsearch 理解的方式编写。根据您的数据，您可以使用查询来获取问题的答案，例如： 搜索包含一个或多个查询，这些查询被组合并发送到 Elasticsearch…

默认情况下，当在文档中找到以前看不见的字段时，Elasticsearch 会将新字段添加到类型映射中。通过将 dynamic 参数设置为 false （忽略新字段）或 strict（如果遇到未知字段，则引发异常），可以在文档和对象级别禁用此行为。 这些是唯一可以动态检测的字段数…

Elasticsearch 的最重要功能之一是它试图摆脱束缚，让您尽快开始探索数据。 要为文档建立索引，您不必先创建索引、定义映射类型并定义字段——您只需为文档建立索引，那么索引、类型和字段就会自动生效： 自动检测和添加新字段称为动态映射。 可通过以下方式自定义动态映射规则以适…

以下页面详细说明了字段映射所使用的各种映射参数，以下映射参数对于某些或所有字段数据类型是通用的： analyzer boost coerce copy_to doc_values dynamic ea

每个文档都有与其关联的元数据，例如 _index ，_type 和 _id 元数据字段。创建映射类型时，可以自定义其中一些元数据字段的行为。 _index ：文档所属的索引。 _type ：文档的映射类型。 _id ：文件编号。 _source ：表示文档正文的原始 JSON …

每个字段都有一个字段数据类型或字段类型。此类型指示字段包含的数据类型（例如字符串或布尔值）及其预期用途。例如，您可以将字符串索引到 text 字段和 keyword 字段。分析文本字段值以进行全文搜索，而将关键字字符串保持原样以进行过滤和排序。 字段类型按 family 分组。…