ELK查詢指令-類似where的搜索條件-文字搜索-前處理

前言
ELK對文字的處理方式分成兩種

  • 使用分析器分析
  • 不進行分析

可藉由改變欄位的類型讓ELK跳過文字分析的動作,這會改變搜索的方法
而預設中文分析後,全部沒有空白的中文字會是一個 token




第一種,使用分析器分析

ELK對文字(Text類型)會進行底下的動作,做完後塞到elasticsearch資料庫內

  • 移除大部分的符號
  • 把剩餘的文字切割成一個一個的字,這些字有個特殊的名字叫做 token
  • 把 token 變成小寫

會進行這些動作是為了全文搜索,這也是elasticsearch的優點之一
通常透由 logstash 輸入的文字欄位都是 text,除非有特別寫一份template指定欄位類型


例如輸入的文字是
POST myindex/_doc
{
  "message": "He is your friend, trust me."
}

會先把符號拿掉
He friend trust me

分割成字
[He, your, friend, trust, me]

變成小寫
[he, your, friend, trust, me]

上面五個字就是 token,在進行文字搜索時,只要比對到一個token就算比對成功
is 這類型的字會被分析器過濾掉,因為它們是 stop token
筆者不是文字分析師,對此表達不懂,大概就是介係詞會被移除掉
這邊有被移除的英文字清單
如果想要保留 is 這類的英文字,這邊官方文章有說明
現在elasticsearch有中文分析器 _cjk_,筆者還沒用過

要搜索到上面的文字只要找到其中一個token就好
GET myindex/_search
{
  "query": {
    "match": {
      "message": "me"
    }
  }
}




第二種,不進行分析 (Keyword)
將資料型態變為 keyword,可以停止elasticsearch對特定欄位進行分析
常用在 email、地址、主機名稱、序號等,整串文字放在一起才有意義
也可以把數字變成 keyword,但就不能用 range 方式搜索
Keyword類別在搜索上,比Text還要快


以上面的輸入當作例子
設定欄位類別
PUT myindex
{
  "mappings": {
    "properties": {
      "message": {
        "type": "keyword"
      }
    }
  }
}

匯入資料
POST myindex/_doc
{
  "message": "He is your friend, trust me."
}


elasticsearch會原封不動的把這串字塞到資料庫
要搜索時,必須要打出完整的字,大小寫、空白和符號要一模一樣才能匹配到
GET myindex/_search
{
  "query": {
    "match": {
      "message": "He is your friend, trust me."
    }
  }
}




留言

發佈留言

此網誌的熱門文章

WPA_supplicant的設定方式

wpa_supplicant設定檔大致分成三個區塊,這邊的例子主要介紹網路設定區塊 1. 全域設定 (Global configuration) 2. 驗證設定區塊 (credential block) 3. 網路設定區塊 (network block) 全域設定 這裡的設定會套用到全部的「網路設定區塊」 驗證設定 專門設定802.11u的相關驗證設定 網路設定 要連線到AP的相關設定,也是最主要的設定 採用的是由上到下,第一個符合就使用的規則 也可以用priority修改優先使用的順序 無線網路的一些基本說明 驗證方式 目前常用的驗證方式有 兩種 : WPA和WPA2(RSN) 一般WPA會配合TKIP加密 而WPA2會配合AES(CCMP)加密 有些高級的AP可以混搭使用,如WPA2使用TKIP加密 輸入密碼的方式 分兩種 PSK : AP預先打好一組密碼,使用者要連線就要輸入相同的密碼。 有些AP會稱為「個人」(Personal) EAP : 密碼自動產生。使用者需要經過認證(如輸入帳號和密碼)才能加入AP。 有些AP會稱為「企業」(Enterprise) 注 : 全域設定要有這兩行,最好是放在最上面 ctrl_interface=/var/run/wpa_supplicant #讓supplicant可以建立行程pid update_config=1 #讓wpa_cli程式可以更新控制wpa_supplicant 常見的例子 想直接設定的人可以看底下的常用例子 例子1 使用 WPA/TKIP ,密碼是用PSK的方式 network={ ssid="你的SSID名稱,限英文" proto=WPA                     #要用WPA或WPA2 key_mgmt=WPA-PSK    #要用PSK或EAP pairwise=TKIP                #要用AES(CCMP)或TKIP加密 group=TKIP ...
閱讀更多

DOS指令 -- SET和變數

DOS指令 -- SET變數 Dos的SET功能很強大也很困擾,這邊說一下筆者會用到的SET功能和變數 在Dos中,set用來建立變數和指定變數的值 在批次檔中使用set指令的時候,建議使用 setlocal/endlocal 如 : setlocal set a=1 set b=2 endlocal 如果有用到IF或FOR,可以使用參數enableextensions enabledelayedexpansion 如 : setlocal enableextensions enabledelayedexpansion for /L %%a in (1,1,3) do ( set a=!a!+%%a ) echo %a% endlocal 實際的使用方式可以參考 --這裡-- SET的基本功能 指定變數 set aaa=World!! set bbb=100 set後面加上的文字是變數, "=" 後面的任何文字就是這個變數的值 如果輸入的是數字,SET會自動判斷。如果數字的第一個字是 0 會被判定為8進位,如 : 07 注意 : =符號的前後不要空白,會被判定為文字 變數四則運算 set /a aaa=5+6  aaa=11 set /a x=5%%2        //在set /?裡面是寫一個%,如果是在批次檔內要用兩個% x=1 set /a bbb=2*(5+2) bbb=14 set ccc=4 set /a ccc*=5       //這個等於 ccc=%ccc%*5 ccc=20 set x=5 set y=2 set /a x-=%y%-1 x=4 在set後面加上 /a ,就可以進行運算相對應的符號有 + 加號,- 減號, / 除號, * 乘號 %% 為除完後的餘數 ( )內的運算會優先執行,就跟真實環境的四則運算一樣 如果要自己對自己運算(如第三個例子),可以把運算符號放在 = 的前面 第四個例子比較特別,會先把=號右邊算完,才會進行 -=的運算 讓使用者自行填入變數 set /p x=請填入生日: echo %x% 輸出: 請填...
閱讀更多

Nginx server 和 location 優先順序

Nginx是一個輕量形的 WEB 伺服器,功能很強大。 其中 server 和 location 可以有很多種的設定方式,也因此需要有個機制去選擇出到底該用哪一個。 這篇文章會說明 Nginx 選擇 server 和 location 的方法。 Server 當設定檔中有多個 server (...) 區塊,Nginx會怎麼選擇呢? server的選擇相對比較簡單,在開始之前,要先了解Nginx怎麼編譯 Server 裡面的 listen 。 預設的 listen 通常是 : listen 80 default_server; 但是一個完整的描述方法因該是: listen IP:PORT; 而缺少的部分(不管是缺少IP還是Port號)Nginx會自動使用預設值補齊。 補齊的方式如下 缺少IP 如 listen 80;,Nginx會自動補0.0.0.0,變成 : listen 0.0.0.0:80; 缺少Port 如 listen 10.1.1.1;,Nginx會自動補80 Port號,變成 : listen 10.1.1.1:80; 兩個都缺 也就是沒有使用 listen ,nginx會自動補上 listen 0.0.0.0:80; 知道自動補齊的方法後,就可以開始討論選擇server的順序。 首先 Nginx會先檢查 IP:Port 的匹配。 選擇順序為 listen 有指定IP (如 10.1.1.1) listen 無指定或使用0.0.0.0 第二 比對 server_name 當第一個IP:Port匹配檢查完後,發現有多個符合的結果,才會繼續比對。 選擇順序為 1. 完整比對到server_name,如 server_name www.example.com; 2. server_name前面有 * 符號,如 server_name *.example.com; 3. server_name後面有 * 符號,如 server_name www.*; 4. server_name是正規表示法,如 server_name ~www.example[1-3].com; 5. 全部的server_name都不匹配,此時Nginx會使用 listen 後面有 defa...
閱讀更多