ElasticSearch | Ingest Pipeline

Ingest Node

  • ElasticSearch 5.0 后,引入的一种新的节点类型,默认配置下,每个节点都是 Ingest Node;
  • Ingest Node 具有预处理数据的能力,可拦截 Index 或 Bulk API 的请求,并对数据进行转换,然后重新返回给 Index 或 Bulk API,最后写入到 ElasticSearch 中;
  • 无需 Logstash,就可以进行数据的预处理,例如:
    • 为某个字段设置默认值;
    • 重命名某个字段的字段名;
    • 对字段值进行 Split 操作;
    • 支持设置 Painless Script,对数据进行更加复杂的加工;

Ingest Node vs Logstash

  Logstash Ingest Node
数据输入与输出 支持从不同的数据源读取,并写入不同的数据源 支持从 ES REST API 获取数据并且写入 ElasticSearch
数据缓冲 实现了简单的数据队列,支持重写 不支持缓冲
数据处理 支持大量的插件,也支持定制开发 内置的插件,可以开发 Plugin 进行扩展(Plugin 更新需要重启)
配置和使用 增加了一定的架构复杂度 无需额外部署

Pipeline & Processor

Pipeline.png

在 Ingest Node 中可以定义 Pipeline

Pipeline
  • Pipeline 会对通过的数据(文档),按照顺序进行加工;
Processor
  • ElasticSearch 对一些加工的行为进行了抽象的包装;
  • ElasticSearch 有很多内置的 Processor,也支持通过插件的方式,实现自己的 Processor;

ElasticSearch | 内置 Processor

  • Split Processer - 将给定字段值分成一个数组
  • Remove / Rename Processer - 移除 / 重命名一个字段
  • Append Processer - 为商品增加一个新的标签
  • Convert Processer - 将商品价格,从字符串转成 float 类型
  • Date / JSON Processer - 日期格式转换 / 字符串转 JSON 对象
  • Date Index Name Processor - 将通过该 Processor 的文档,分配到指定时间格式的索引中
  • Fail Processer - 一旦出现异常,该 Pipeline 指定的错误信息能返回给用户
  • Foreach Processer - 数组字段,数组的每个元素都会使用到一个相同的处理器
  • Grok Processor Processer - 日志的日期格式切割
  • Gsub / Join / Split Processer - 字符串替换 / 数组转字符串 / 字符串转数组
  • Lowercase / Upcase Processer - 大小写转换

Pipeline | 举个栗子

准备数据
PUT tech_blogs/_doc/1
{
  "title":"Introducing big data......",
  "tags":"hadoop,elasticsearch,spark",
  "content":"You konw, for big data"
}
_simulate API | 将字段的值用 "," 分割
  • tags 字段不再是字符串,而是字符串的数组;
POST _ingest/pipeline/_simulate
{
  "pipeline": {
    "description": "to split blog tags",
    "processors": [
      {
        "split": {
          "field": "tags",
          "separator": ","
        }
      }
    ]
  },
  "docs": [
    {
      "_index": "index",
      "_id": "id",
      "_source": {
        "title": "Introducing big data......",
        "tags": "hadoop,elasticsearch,spark",
        "content": "You konw, for big data"
      }
    },
    {
      "_index": "index",
      "_id": "idxx",
      "_source": {
        "title": "Introducing cloud computering",
        "tags": "openstack,k8s",
        "content": "You konw, for cloud"
      }
    }
  ]
}
_simulate API | 在 Pipeline 中再添加一个 Processor
  • 为文档添加字段 views,并设置默认值 0;
POST _ingest/pipeline/_simulate
{
  "pipeline": {
    "description": "to split blog tags",
    "processors": [
      {
        "split": {
          "field": "tags",
          "separator": ","
        }
      },
      {
        "set":{
          "field": "views",
          "value": 0
        }
      }
    ]
  },

  "docs": [
    {
      "_index":"index",
      "_id":"id",
      "_source":{
        "title":"Introducing big data......",
  "tags":"hadoop,elasticsearch,spark",
  "content":"You konw, for big data"
      }
    },
    {
      "_index":"index",
      "_id":"idxx",
      "_source":{
        "title":"Introducing cloud computering",
  "tags":"openstack,k8s",
  "content":"You konw, for cloud"
      }
    }
  ]
}
在 ElasticSearch 中添加一个 Pipeline
PUT _ingest/pipeline/blog_pipeline
{
  "description": "a blog pipeline",
  "processors": [
      {
        "split": {
          "field": "tags",
          "separator": ","
        }
      },
      {
        "set":{
          "field": "views",
          "value": 0
        }
      }
    ]
}
查看 Pipeline
GET _ingest/pipeline/blog_pipeline
测试 Pipeline
POST _ingest/pipeline/blog_pipeline/_simulate
{
  "docs": [
    {
      "_source": {
        "title": "Introducing cloud computering",
        "tags": "openstack,k8s",
        "content": "You konw, for cloud"
      }
    }
  ]
}
使用 Pipeline 和不使用 Pipeline 向索引中添加数据
  • 一条数据被 Pipeline 处理,另一条没有;
PUT tech_blogs/_doc/1
{
  "title":"Introducing big data......",
  "tags":"hadoop,elasticsearch,spark",
  "content":"You konw, for big data"
}

PUT tech_blogs/_doc/2?pipeline=blog_pipeline
{
  "title": "Introducing cloud computering",
  "tags": "openstack,k8s",
  "content": "You konw, for cloud"
}

POST tech_blogs/_search
{}
使用 blog_pipeline 重建 tech_blogs 中的所有文档
  • update_by_query 会导致错误,因为 id 为 1 的文档的 tags 字段是字符串数组,而不是字符串;
POST tech_blogs/_update_by_query?pipeline=blog_pipeline
{
}
增加 update_by_query 的条件
  • 只对没有 views 字段的文档作用 blog_pipeline;
POST tech_blogs/_update_by_query?pipeline=blog_pipeline
{
    "query": {
        "bool": {
            "must_not": {
                "exists": {
                    "field": "views"
                }
            }
        }
    }
}
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,884评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,755评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,369评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,799评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,910评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,096评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,159评论 3 411
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,917评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,360评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,673评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,814评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,509评论 4 334
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,156评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,882评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,123评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,641评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,728评论 2 351