Elasticsearch:使用算术运算的临时 Runtime field

Posted Elastic 中国社区官方博客

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Elasticsearch:使用算术运算的临时 Runtime field相关的知识,希望对你有一定的参考价值。

Runtime fields 在实际的数据查询中非常有用。它的设计最初的理念就是代替之前的 Scripted fields。在很多时候,我们一开始可能还没有想到需要哪些字段来对数据进行分析。有的时候,我们需要的字段可能是由其它的字段来生产的。我们可以使用 Math 库来动态地生成一些我们需要的临时字段。这些字段可以帮助我们对数据做更进一步的分析。

在今天的教程中,我将使用 Painless 的 Math 库来生产一个 Runtime field。在使用中,我们需要注意的一点是:Runtime field 是从 Elastic Stack 7.11 开始支持的。

准备数据

我们使用 Kibana 自动的索引:

 

这样我们就导入了一个叫做 kibana_sample_data_logs 的索引。

创建 Runtime field

 我们先在 Kibana 中做如下的搜索:

GET kibana_sample_data_logs/_search

我们可以看到一个叫做 machine 的字段。其中的 ram 子字段的值为 8589934592。它是以字节的形式来表示的。我们在查询时候,有时感觉使用字节不是很方便,那么我们想生成一个 Runtime field 来转换为 GB 格式的。这样更容易进行搜索。

我们首先使用如下的命令来搜索:

GET kibana_sample_data_logs/_search

  "runtime_mappings": 
    "ram_floor_gb": 
      "type": "long",
      "script": 
        "source": "emit(Math.floor(doc['machine.ram'].value /1024/1024/1024).longValue())"
      
    
  ,
  "fields": [
    "ram_floor_gb",
    "machine.ram"
  ]

在上面,我们定义了一个叫做 ram_floor_gb 的 Runtime field。它的用法基本和 Scripted fields 非常相似。那么搜索的结果是:

从上面的显示中,我们可以看出来多了一个叫做 ram_floor_gb 的字段。它的值是 8,也就是 8GB。

有了上面的了解,我们可以使用这 Runtime fields 来做一些搜索:

GET kibana_sample_data_logs/_search

  "runtime_mappings": 
    "ram_floor_gb": 
      "type": "long",
      "script": 
        "source": "emit(Math.floor(doc['machine.ram'].value /1024/1024/1024).longValue())"
      
    
  ,
  "fields": [
    "ram_floor_gb",
    "machine.ram"
  ],
  "_source": false,
  "query": 
    "range": 
      "ram_floor_gb": 
        "gte": 0,
        "lte": 40

上面的搜索将返回 ram_floor_gb 大于 0 且小于 40 GB 的所有文档。

我们也可以做如下的搜索:

GET kibana_sample_data_logs/_search

  "runtime_mappings": 
    "ram_floor_gb": 
      "type": "long",
      "script": 
        "source": "emit(Math.floor(doc['machine.ram'].value /1024/1024/1024).longValue())"
      
    
  ,
  "fields": [
    "ram_floor_gb",
    "timestamp"
  ],
  "_source": false,
  "query": 
    "bool": 
      "must": [
        
          "range": 
            "timestamp": 
              "gt": "2022-01-01"
            
          
        ,
        
          "range": 
            "ram_floor_gb": 
              "gte": 4,
              "lte": 20
            
          
        
      ]

在我们搜索的时候,我们看出来:runtime field 和正常的字段一样进行使用。当然如果我们觉得这个字段 ram_floor_gb 是非常必要的,我们可以在数据摄入时通过 pipeline 的方法进行添加,这样我们就可以不再使用 Runtime fields 了。

以上是关于Elasticsearch:使用算术运算的临时 Runtime field的主要内容,如果未能解决你的问题,请参考以下文章

R因子的算术运算

R语言初级教程(04): 算术运算

R语言算术运算符(Arithmetic Operators+-*/%%%/%^)R语言算术运算符(Arithmetic Operators)实战示例

是否可以计算 R 中的算术运算次数?

Bash shell 的算术运算有四种方式

Linux中的算术运算