前两篇笔记里面写了ELK的安装和ES的scroll查询与分片查询,关于查询的一些其他知识点以及我刚接触ELK的时候遇到的一些问题,准备在下面稍稍带过一下。 查询相关的内容 ES里面存储的可以认为是文档,它搜索的时候其实是“模糊查询”。 GET parsed-nginx-access-log/_search { "query": { "match_all": {} } } ES默认返回了10条记过,选择其中一条拿出来看 { "_index": "parsed-nginx-access-log", "_type": "doc", "_id": "u3WFzGIBS0ZNO-1q5iBf", "_score": 1, "_source": { "host": "localhost"…
上一篇文章里面讲到了elk的安装,这次来说一下如何进行查询。 进入kibana之后,是没有任何东西可以查的。首先要设置index。 在kibana的management里面,进入index object,在里面创建index。 创建完成之后,就可以在Discover里面进行查询了。Discover里面,左侧列出来的就是一些字段以及字段的类型。 我还是喜欢在Dev tools里面,使用json形式进行查询,如下图所示: 看上面这张图,hits字段里面的total表示命中了4229条记录,但实际返回的只有10个具体的记录,这是因为ES默认返回10条记录。 如果想要更多的记录,或者是某个分片的记录,可以用scroll查询或者是分片查询。 scroll查询 vs 分片查询 scroll查询 scroll查询分成两个部分 初始化scroll查询。 之后的滚动查询 先来看如何初始化scroll查询,看下面这张示例图: 1.1 url格式为yourindexname/_search?scroll=xxm,scroll的取值表示查询游标的过期时间。 1.2 查询结果里面,会有_scroll_id字段。之后就可以用这个id来进行滚动查询 再来看如何进行滚动查询。看下面这种示意图: 2.…
ELK (一) 关于ELK ELK 而是一整套解决方案,是三个软件产品的首字母缩写,Elasticsearch,Logstash 和 Kibana。这三款软件都是开源软件,通常是配合使用。 Elasticsearch 是一个实时的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析。它是一个建立在全文搜索引擎 Apache Lucene 基础上的搜索引擎,分步式实时文件存储,所有对象都是文档。 Logstash 是一个具有实时渠道能力的数据收集引擎。几乎可以访问任何数据,支持多种外部应用。主要分为三部分: Shipper-发送日志数据;Broker-收集数据;Indexer-数据写入。三部分的结构如下图: Kibana 它可以在 Elasticsearch 的索引中查找,交互数据,并生成各种维度的表图。 ELK的安装 ElasticSearch 的安装: 从官网https://www.elastic.co/downloads/elasticsearch下载 解压。…