mapping 是定义一个文档包含哪些字段、如何存储和索引的过程。例如,我们可以用mapping定义:
1 哪些字符串字段可以当作全文字段;
2 哪些字段包含数字、日期或者地理位置;
3 日期数据的格式;
4 自定义规则,以便于控制mapping动态添加字段;
简单来说,当向es中插入数据时候,es会自动创建索引,同时建立type以及对应的mapping,mapping 定义了不同的数据类型;在es中既可以通过dynamic mapping,让索引自动建立mapping,自动设置数据类型,又可以根据业务需求提前手动创建mapping,对各个字段进行设置(字段类型、索引行为、分词器等)。
es 6.0前,每个索引下可以有多个type字段,如blog/usr,blog/article 等,但官方发现其不合理之处,7.0之后便废弃了索引的多type,每个索引只能有一个type。
es 最初设置index 类似于关系型数据库的一个数据库,type 类似与sql的表,但后来发现这是一个不合理的类比。
在sql db中,同名字段可以在多个不同表中,且在不同表中具有不同的数据类型;然而,在es 同名字段在多个type中必须要有相同的定义,这和sql的表述不符合,而且容易造成误解;此外es中多type的存在会影响Lucene 扽文档压缩效率,基于上述原因es官方决定移除 mapping types 的概念。
当前每个index 都有一个mapping type,mapping type包括Meta-fileds和Fields(或properties) 两部分;meta-fields用来定义一个文档相关的元数据(每个索引都内置这些字段),包括_index,_type,_id, _source 等,properties可以理解为除了meta-fileds外的一系列字段,properties 可以自定义,但是该字段不能和已有的meta-fileds冲突(自定义meta字段会报错)。
一个文档中支持多个不同数据类型,具体如下:
个人理解如下:
PUT example/_doc/1
{
"addr":{
"street":"001",
"mail":11132
},
"name":"xiaoming is boy"
}
得到name的mapping如下,包括text和keyword类型,可以直接通过name字段就行全文检索,通过name.keyword进行排序聚合等功能。
"name" : {
"type" : "text",
"fields" : {
"keyword" : {
"type" : "keyword",
"ignore_above" : 256
}
}
}
每个文档都有一些与之相关的元字段,例如 _index, mapping _type, and _id 等常见的meta-fields。
文档身份识别相关的元字段 :_index, _type, _id
文档资源相关的元字段:_source, _size
索引相关的元字段:_field_names, _ignored
路由相关的元字段: _routing
其它元字段: _meta
mapping 参数用于对部分或者全部字段进行限制,使文档能按照要求写入;7.2版本包括如下常见参数:
7.2/mapping-params
analyzer
normalizer
boost
coerce
copy_to
doc_values
dynamic
enabled : 只能用于最上层mapping和object 字段, 设置false后该字段将不可搜索,但是会保存在_source中。
fielddata
eager_global_ordinals
format
ignore_above
ignore_malformed
index_options
index_phrases
index_prefixes
index
fields
norms
null_value
position_increment_gap
properties
search_analyzer
similarity
store
term_vector
es 最重要的一个特征之一:它可以让我们摆脱我们自己的方式,尽快地探索数据。当写入一个数据的文档的时候,我们既不需要提前创建一个索引,又不需要定义一个mapping type,还不需要定义多个字段;我们只需要写入文档到指定的index和type中,es会自动给我创建各种字段, 用es官方表达即:各字段会自动焕发生机(fields will spring to life automatically)。
es 中称 自动检测和添加新字段 为动态mapping。在实际中,我们也可以通过业务需要自定义动态mapping规则,具体包括如下两种方式:
"type": "mapper_parsing_exception",
"reason": "failed to parse field [num] of type [long] in document with id '1'",
"caused_by": {
"type": "illegal_argument_exception",
"reason": "For input string: \"number\""
}
报错:
Exception in pipelineworker, the pipeline stopped processing new events, please check your filter configuration and restart Logstash
或者
Error parsing json {:source=>"main_log", :raw=>"xxx", :exception=>#<LogStash::Json::ParserError: Unrecognized token 'peekaboo': was expecting ('true', 'false' or 'null')
at [Source: (byte[])"peekaboo 125.210.57.176 [23/Oct/2020:15:42:05 +0800] "GET /app/v1/user/ping HTTP/1.1" 200 47 "" "okhttp/4.8.1" 0.004 0.007"; line: 1, column: 10]>}
解决方法:skip 掉不合规的json
json {
source => "message"
remove_field => [ "message" ]
skip_on_invalid_json => true
}
参考文档:
7.2/mapping
参考环境:
本文使用的是 es7.2.1 版本