Lucene查询语法以可读的方式书写,然后使用JavaCC进行词法转换,转换成机器可识别的查询。
下面着重介绍下Lucene支持的查询:
Terms词语查询
词语搜索,支持 单词 和 语句。
- 单词,例如:"test","hello"
- 语句,例如:"hello,world!"
多个词语可以通过操作符,连接成更复杂的搜索逻辑。
Field字段查询
Lucene支持针对某个字段进行搜索,语法如:
title:hello
或者
title:"hello title"搜索语句时需要加上双引号,否则:
title:hello title
就意味着,搜索title为hello,或者包含title关键字的文档Term Modifier修饰符查询
Lucene支持对词语增加修饰,从而扩大查询的范围。
WildCard Searches通配符查询
支持在单个单词或者语句中添加通配符:
?匹配单个字符*匹配0个或多个字符
例如:
=>想要搜索test或者text
te?t
=>想要搜索test tests tester
test*文档中不支持通配符放在搜索的开头,如*test,但是在kibana中是支持这种搜索语法的。
Fuzzy Searches模糊词查询
支持搜索模糊词,如果想要搜索模糊词,需要在词语后面加上符号~
例如:
=>想要搜索和test相近的词
test~
可以搜索出text或者tests等词也支持在~后面添加模糊系数,模糊系数[0-1],越靠近1表示越相近,默认模糊系数为0.5。
test~0.8Proximity Searches邻近词查询
前面的模糊词只是针对某个单词,在语句间也存在模糊搜索的概念,只不过不是单词的模糊,而是单词之间内容的模糊。
注意要使用双引号`""`包围
例如:
=>想要搜索包含"hello""world"的文档,这两个单词中间可以有一部分内容(这部分内容通过字符个数限制)
"hello world"~10
可以匹配"hello 123 world"
或者"hello,Tom,world"Range Searches范围查询
支持范围搜索,可以指定最小值和最大值,会自动查找在这之间的文档。如果是单词,则会按照字典顺序搜索。
{}尖括号表示不包含最小值和最大值,可以单独使用[]方括号表示包含最小值和最大值,可以单独使用
例如:
=>搜索成绩grade字段小于等于80分,大于60分的
grade:{60,80]
=>搜索名字在A和C之间的
name:{A,C}
返回,bone、baby、barry
Boosting a Term词语相关度查询
如果单词的匹配度很高,一个文档中或者一个字段中可以匹配多次,那么可以提升该词的相关度。使用符号^提高相关度。
例如:
=>提高jarkarta的比重
jakarta apache可以采用下面的语法:
jakarta^4 apacheBoolean Operator布尔操作符
支持多种操作符:
AND
AND操作符用于连接两个搜索条件,仅当两个搜索条件都满足时,才认为匹配。通常用来做交集操作。也可以使用&&替换。
注意必须使用大写。如果不使用AND,而是and,可能会被单做关键词进行搜索!
例如:
=> 搜索同时包含tom和john的文档
tom AND john
或者
tom && johnOR
OR操作符用于连接两个搜索条件,当其中一个条件满足时,就认为匹配。通常用来做并集操作。也可以使用||替换。
注意必须使用大写。
例如:
=>搜索包含tom或者john的文档
tom OR john
或者
tom || johnNOT
NOT操作符排除某个搜索条件。通常用来做差集操作也可以使用!替换。
注意必须大写。
例如:
=>搜索包含tom,不包含john的文档
tom NOT john
或者
tom && !john在kibana中支持单独使用,如:
=>排除包含test的文档
NOT test+
包含该操作符后跟着的搜索条件,如:
=>搜索包含tom的文档
+tom作用于AND的差不多,但是支持单独使用
-
排除该操作符后跟着的搜索条件,如:
=>搜索不包含tom的文档
-tom效果类似NOT
Grouping分组
支持使用小括号对每个子句进行分组,形成更为复杂的查询逻辑。
例如:
=>要搜索包含hello的文档中,也包含tom或者john的
hello AND (tom OR john)
也支持在字段中使用小括号:
=>要搜索标题中,既包含return 也包含pink panther的
title:(+return +"pink panther")Escaping Special Character转义字符
由于Lucene中支持很多的符号,如
+ - && || ! ( ) { } [ ] ^ " ~ * ? : 因此如果需要搜索 (1+1):2 需要对改串进行转换,使用字符。
(1+1):2
elk不同之处
对与范围查询:
lucene :{A,C} 而elk则:{A TO B}
例如:elk的一个查询:
@timestamp:{"now-10m" TO "now"} AND message : "come in ActivityCommonService_pz" && (1517391575588 OR 1112796) +[5.23.0] AND @version:[0 TO 2]
