搜索输入
Elastic Stack Serverless
使用 search 输入将 Elasticsearch 搜索请求的结果加载到触发监视的执行上下文中。有关所有支持的属性,请参阅搜索输入属性。
在搜索输入的 request 对象中,您可以指定
- 您要搜索的索引
- 搜索类型
- 搜索请求正文
搜索请求正文支持完整的 Elasticsearch Query DSL——它与 Elasticsearch _search 请求的正文相同。
例如,以下输入从 logs 索引检索所有 event 文档
"input" : {
"search" : {
"request" : {
"indices" : [ "logs" ],
"body" : {
"query" : { "match_all" : {}}
}
}
}
}
您可以在指定索引时使用日期数学和通配符。例如,以下输入从今天的每日报价索引中加载最新的 VIXZ 报价
{
"input" : {
"search" : {
"request" : {
"indices" : [ "<stock-quotes-{now/d}>" ],
"body" : {
"size" : 1,
"sort" : {
"timestamp" : { "order" : "desc"}
},
"query" : {
"term" : { "symbol" : "vix"}
}
}
}
}
}
}
您可以使用 extract 属性指定要将搜索响应中的哪些字段加载到监视有效负载中。当搜索生成大型响应并且您只对特定字段感兴趣时,这非常有用。
例如,以下输入仅将命中总数加载到监视有效负载中
"input": {
"search": {
"request": {
"indices": [ ".watcher-history*" ]
},
"extract": [ "hits.total.value" ]
}
},
search 输入支持搜索模板。例如,以下代码段引用名为 my_template 的索引模板,并传递值 23 以填充模板的 value 参数
{
"input" : {
"search" : {
"request" : {
"indices" : [ "logs" ],
"template" : {
"id" : "my_template",
"params" : {
"value" : 23
}
}
}
}
}
...
}
search 输入通常与script条件结合使用。例如,以下代码段添加了一个条件来检查搜索是否返回了超过五个命中
{
"input" : {
"search" : {
"request" : {
"indices" : [ "logs" ],
"body" : {
"query" : { "match_all" : {} }
}
}
}
},
"condition" : {
"compare" : { "ctx.payload.hits.total" : { "gt" : 5 }}
}
...
}
条件、转换和操作可以通过监视执行上下文访问搜索结果。例如
- 要将所有搜索命中加载到电子邮件正文中,请使用
ctx.payload.hits。 - 要引用命中的总数,请使用
ctx.payload.hits.total。 - 要访问特定命中,请使用其从零开始的数组索引。例如,要获取第三个命中,请使用
ctx.payload.hits.hits.2。 - 要从特定命中获取字段值,请使用
ctx.payload.hits.hits.<index>.fields.<fieldname>。例如,要从第一个命中获取消息字段,请使用ctx.payload.hits.hits.0.fields.message。
注意
搜索响应中的命中总数作为响应中的一个对象返回。它包含一个 value(命中数)和一个 relation,用于指示该值是否准确 ("eq") 或是与查询匹配的命中总数的下限 ("gte")。您可以将 track_total_hits 设置为 true 以在搜索请求中告知 Elasticsearch 始终准确跟踪命中数。
| 名称 | 必需 | 默认 | 说明 |
|---|---|---|---|
request.search_type |
否 | query_then_fetch |
要执行的搜索请求的类型。有效值为:dfs_query_then_fetch 和 query_then_fetch。Elasticsearch 默认值为 query_then_fetch。 |
request.indices |
否 | - | 要搜索的索引。如果省略,则搜索所有索引,这是 Elasticsearch 中的默认行为。 |
request.body |
否 | - | 请求的正文。请求正文遵循与您通常在 REST _search 请求正文中发送的结构相同的结构。正文可以是静态文本,也可以包含 mustache 模板。 |
request.template |
否 | - | 搜索模板的正文。有关更多信息,请参阅配置模板。 |
request.indices_options.expand_wildcards |
否 | open |
如何展开通配符。有效值为:all、open、closed 和 none。有关更多信息,请参阅expand_wildcards。 |
request.indices_options.ignore_unavailable |
否 | true |
搜索是否应忽略不可用的索引。有关更多信息,请参阅ignore_unavailable。 |
request.indices_options.allow_no_indices |
否 | true |
是否允许通配符索引表达式不生成任何具体索引的搜索。有关更多信息,请参阅allow_no_indices。 |
extract |
否 | - | 要从搜索响应中提取并作为有效负载加载的 JSON 键数组。当搜索生成大型响应时,您可以使用 extract 来选择相关字段,而不是加载整个响应。 |
timeout |
否 | 1m | 等待搜索 API 调用返回的超时时间。如果在此时间内未返回任何响应,则搜索输入超时并失败。此设置会覆盖默认的搜索操作超时。 |
在指定请求 body 时,您可以在执行上下文中引用以下变量
| 名称 | 说明 |
|---|---|
ctx.watch_id |
当前正在执行的监视的 ID。 |
ctx.execution_time |
此监视开始执行的时间。 |
ctx.trigger.triggered_time |
触发此监视的时间。 |
ctx.trigger.scheduled_time |
应该触发此监视的时间。 |
ctx.metadata.* |
与监视关联的任何元数据。 |