環境
index
発行クエリ
curl -XGET http://xxxxxxxxx:9200/packetbeat-*/http/_search?pretty -d "{"size" : 1000000,"filter" : {"range" : {"@timestamp " : {"gte" : "2016-12-1","lte" : "2016-12-5"}}}, "fields" : ["@timestamp ", "method", "beat.hostname", "path"], "query" : {"query_string" : {"query":"test_no : 1" }}, "sort" : [{"@timestamp " : "asc"}]}" -o http_json.txt
elasticsearchからxgetにてクエリを発行した結果を加工したいと考えています。
下記のようなクエリを発行した場合、indexを跨っていても指定した日付の範囲のデータを取得してくれるものと考えていたのですが、取得できていませんでした。
20161201~20161215まで各indexが作成されている中から
johtani
December 28, 2016, 9:54am
2
ありがとうございます。
日付の0埋めされていないからということですね。
少し前までelasticsearchのバージョンを1.7を使用していて
Result window is too large, from + size must be less than or equal to: [10000] but was [10000000]. See the scroll api for a more efficient way to request large data sets. This limit can be set by changing the [index.max_result_window] index level parameter.
というエラーが出ました。
よくよく調べてみるとindex.max_result_windowがmax10000に対して
このmax_result_windowについて3点確認したいのですが
1.検索クエリの結果docが10000を超えるかどうかということであれば、
2.この値の初期値を変更したい場合、elasticsearch.ymlファイルに
3.既に作成済みのindexに対して値を1万から100万に変更したい場合、下記コマンドを各indexに対して行えばよいでしょうか?
johtani
December 28, 2016, 11:50am
4
ありがとうございます!
xgetは「curl -XGET ...」のRESTという意味で書きました。
elasticsearchには多くの機能があり、表層部分しか触れておらず
教えていただいたscroll apiや各リンクを参照させていただきます。
johtani
December 28, 2016, 12:47pm
6
なるほど。
system
January 25, 2017, 12:48pm
7
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.