IP 字段类型
编辑IP 字段类型编辑
response = client.indices.create(
index: 'my-index-000001',
body: {
mappings: {
properties: {
ip_addr: {
type: 'ip'
}
}
}
}
)
puts response
response = client.index(
index: 'my-index-000001',
id: 1,
body: {
ip_addr: '192.168.1.1'
}
)
puts response
response = client.search(
index: 'my-index-000001',
body: {
query: {
term: {
ip_addr: '192.168.0.0/16'
}
}
}
)
puts response
PUT my-index-000001
{
"mappings": {
"properties": {
"ip_addr": {
"type": "ip"
}
}
}
}
PUT my-index-000001/_doc/1
{
"ip_addr": "192.168.1.1"
}
GET my-index-000001/_search
{
"query": {
"term": {
"ip_addr": "192.168.0.0/16"
}
}
}
您还可以使用 ip_range 数据类型 在单个字段中存储 IP 范围。
ip 字段的参数编辑
ip 字段接受以下参数
-
doc_values - 该字段是否应该以列式存储在磁盘上,以便以后用于排序、聚合或脚本? 接受
true(默认)或false。 -
ignore_malformed - 如果为
true,则忽略格式错误的 IP 地址。 如果为false(默认),则格式错误的 IP 地址会引发异常并拒绝整个文档。 请注意,如果使用了script参数,则无法设置此参数。 -
index - 该字段是否应该可以快速搜索? 接受
true(默认)和false。 仅启用了doc_values的字段仍然可以使用基于词条或范围的查询进行查询,尽管速度较慢。 -
null_value - 接受一个 IPv4 或 IPv6 值,该值将替换任何显式的
null值。 默认为null,这意味着该字段被视为缺失。 请注意,如果使用了script参数,则无法设置此参数。 -
on_script_error - 定义如果
script参数定义的脚本在索引时引发错误,该怎么办。 接受reject(默认),这将导致整个文档被拒绝,以及ignore,这将在文档的_ignored元数据字段中注册该字段并继续索引。 仅当还设置了script字段时,才能设置此参数。 -
script - 如果设置了此参数,则该字段将索引此脚本生成的值,而不是直接从源读取值。 如果在输入文档上为此字段设置了值,则该文档将被拒绝并报错。 脚本的格式与其 运行时等效项 相同,并且应该发出包含 IPv4 或 IPv6 格式地址的字符串。
-
store - 字段值是否应该存储并可以与
_source字段分开检索。 接受true或false(默认)。 -
time_series_dimension -
(可选,布尔值)
将该字段标记为 时间序列维度。 默认为
false。index.mapping.dimension_fields.limit索引设置限制了索引中的维度数量。维度字段具有以下约束
doc_values和index映射参数必须为true。- 字段值不能是 数组或多值。
查询 ip 字段编辑
查询 IP 地址最常用的方法是使用 CIDR 表示法:[ip_address]/[prefix_length]。 例如
response = client.search(
index: 'my-index-000001',
body: {
query: {
term: {
ip_addr: '192.168.0.0/16'
}
}
}
)
puts response
GET my-index-000001/_search
{
"query": {
"term": {
"ip_addr": "192.168.0.0/16"
}
}
}
或
response = client.search(
index: 'my-index-000001',
body: {
query: {
term: {
ip_addr: '2001:db8::/48'
}
}
}
)
puts response
GET my-index-000001/_search
{
"query": {
"term": {
"ip_addr": "2001:db8::/48"
}
}
}
还要注意,冒号是 query_string 查询的特殊字符,因此需要对 ipv6 地址进行转义。 最简单的方法是在搜索值周围加上引号
response = client.search(
index: 'my-index-000001',
body: {
query: {
query_string: {
query: 'ip_addr:"2001:db8::/48"'
}
}
}
)
puts response
GET my-index-000001/_search
{
"query": {
"query_string" : {
"query": "ip_addr:\"2001:db8::/48\""
}
}
}
合成 _source编辑
合成 _source 仅适用于 TSDB 索引(index.mode 设置为 time_series 的索引)。 对于其他索引,合成 _source 处于技术预览阶段。 技术预览版中的功能可能会在未来版本中更改或删除。 Elastic 将努力解决任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 的约束。
在默认配置下,ip 字段支持 合成 _source。 合成 _source 不能与 copy_to 或禁用了 doc_values 的字段一起使用。
合成源始终对 ip 字段进行排序并删除重复项。 例如
response = client.indices.create(
index: 'idx',
body: {
mappings: {
_source: {
mode: 'synthetic'
},
properties: {
ip: {
type: 'ip'
}
}
}
}
)
puts response
response = client.index(
index: 'idx',
id: 1,
body: {
ip: [
'192.168.0.1',
'192.168.0.1',
'10.10.12.123',
'2001:db8::1:0:0:1',
'::afff:4567:890a'
]
}
)
puts response
PUT idx
{
"mappings": {
"_source": { "mode": "synthetic" },
"properties": {
"ip": { "type": "ip" }
}
}
}
PUT idx/_doc/1
{
"ip": ["192.168.0.1", "192.168.0.1", "10.10.12.123",
"2001:db8::1:0:0:1", "::afff:4567:890a"]
}
将变成
{
"ip": ["::afff:4567:890a", "10.10.12.123", "192.168.0.1", "2001:db8::1:0:0:1"]
}
IPv4 地址的排序方式就好像它们是由 rfc6144 指定的 ::ffff:0:0:0/96 前缀的 IPv6 地址一样。