索引库名称的日期运算
通过日期计算索引名称可以解决查询一个时间范围内的索引库,而不是通过别名来搜索所有连续时间的索引库来过滤得到结果。限制搜索的索引数量,减少了集群上的负载,并提高了执行性能。例如,如果您在日常日志中搜索错误信息),则可以使用日期计算名称模板将搜索限制为过去两天。
几乎所有的具有index参数的API,都支持通过日期计算index的参数值。
日期计算索引名称采用以下形式:
<static_name{date_math_expr{date_format|time_zone}}>
说明:
| 上式位置 | 含义说明 |
|---|---|
| static_name | 是名称的静态文本部分 |
| date_math_expr | 是一个日期计算动态表达式,用来动态计算日期 |
| date_format | 是计算日期应呈现的格式参数,可选。默认是YYYY.MM.dd |
| time_zone | 是可选的,时区。默认为utc。 |
你必须将索引名称与日期计算表达式包含在尖括号中,并且所有的特殊字符都应进行URI编码。例如:
# GET /<logstash-{now/d}>/_search
GET /%3Clogstash-%7Bnow%2Fd%7D%3E/_search
{
"query" : {
"match": {
"test": "data"
}
}
}
注意
日期运算符的URI编码
用于日期运算的特殊字符必须按照如下URI编码:
特殊字符 百分比编码 < %3C > %3E / %2F { %7B } %7D \ %7C + %2B : %3A
以下示例显示不同形式日期运算后的索引名称,它们在解析时给出的当前时间是2024年3月22日中午的utc时间。
| 表达式 | 解析结果 | |
|---|---|---|
| logstash-2024.03.22 | ||
| logstash-2024.03.01 | ||
| logstash-2024.03 | ||
| logstash-2024.02 | ||
| <logstash-{now/d{YYYY.MM.dd | +12:00}}> | logstash-2024.03.23 |
如要在索引名称的静态部分中使用字符{和} ,使用\对其进行转义,例如:
<elastic\\{ON\\}-{now/M}>将被解析为elastic{ON}-2024.03.01
下面的示例显示了一个搜索请求,在过去的三天里搜索LogStash索引,假设索引使用默认的索引名称格式, logstash-YYYY.MM.dd。
# GET /<logstash-{now/d-2d}>,<logstash-{now/d-1d}>,<logstash-{now/d}>/_search
GET /%3Clogstash-%7Bnow%2Fd-2d%7D%3E%2C%3Clogstash-%7Bnow%2Fd-1d%7D%3E%2C%3Clogstash-%7Bnow%2Fd%7D%3E/_search
{
"query" : {
"match": {
"test": "data"
}
}
}