将Kibana的Elasticsearch请求转换为elasticsearch-dsl

Question

最近从AWS Elasticsearch Service (使用Elasticsearch 1.5.2)迁移到Elastic Cloud (当前使用Elasticsearch 5.1.2)。很高兴我这样做了，但随着这种变化，Elasticsearch的更新版本和更新的API也随之而来。我正在努力理解请求内容的新方式。以前，我或多或少可以从Kibana的"Elasticsearch Request Body“中复制/粘贴，调整一些东西，运行elasticsearch.Elasticsearch.search()，然后得到我想要的东西。

这是我来自Kibana的Elasticsearch请求正文(为简洁起见，删除了Kibana通常插入的一些无关内容)：

{
  "size": 500,
  "sort": [
    {
      "Time.ISO8601": {
        "order": "desc",
        "unmapped_type": "boolean"
      }
    }
  ],
  "query": {
    "bool": {
      "must": [
        {
          "query_string": {
            "query": "Message\\ ID: 2003",
            "analyze_wildcard": true
          }
        },
        {
          "range": {
            "Time.ISO8601": {
              "gte": 1484355455678,
              "lte": 1484359055678,
              "format": "epoch_millis"
            }
          }
        }
      ],
      "must_not": []
    }
  },
  "stored_fields": [
    "*"
  ],
  "script_fields": {},
}

现在我想使用elasticsearch-dsl来完成，因为这似乎是推荐的方法(而不是使用elasticsearch-py)。我如何将上面的代码转换成elasticsearch-dsl？

这是我到目前为止所知道的：

from elasticsearch import Elasticsearch
from elasticsearch_dsl import Search, Q

client = Elasticsearch(
        hosts=['HASH.REGION.aws.found.io/elasticsearch'],
        use_ssl=True,
        port=443,
        http_auth=('USER','PASS')
    )

s = Search(using=client, index="emp*")
s = s.query("query_string", query="Message\ ID:2003", analyze_wildcards=True)
s = s.query("range", **{"Time.ISO8601": {"gte": 1484355455678, "lte": 1484359055678, "format": "epoch_millis"}})
s = s.sort("Time.ISO8601")

response = s.execute()

for hit in response:
    print '%s %s' % (hit['Time']['ISO8601'], hit['Message ID']) 

我如上所写的代码并没有给出我期望的结果。得到的结果包括与"Message\ ID:2003“不匹配的内容，而且还提供了请求的Time.ISO8601范围之外的内容。

全新的elasticsearch-dsl和ES 5.1.2的工作方式，所以我知道我有很多东西要学习。我做错了什么？提前感谢您的帮助！

Answer 1

我现在没有运行elasticsearch，但是除了转义\符号之外，查询看起来像您想要的(您总是可以看到通过查看s.to_dict()生成的查询)。在原始查询中，它是转义的，但在python中，由于转义的不同，结果可能会有所不同。

我强烈建议您的字段中不要有空格，并且使用比query_string更结构化的查询

s = Search(using=client, index="emp*")
s = s.filter("term", message_id=2003)
s = s.query("range", Time__ISO8601={"gte": 1484355455678, "lte": 1484359055678, "format": "epoch_millis"})
s = s.sort("Time.ISO8601")

注意，为了稍微加快速度，我还将query()更改为filter()，并在字段名关键字参数中使用__而不是.。elasticsearch-dsl会自动将其扩展到.。

希望这能帮到你。