索引结构设计

1. 字段设计：
   • 时间字段：使用 date 类型，用于记录日志产生的时间，比如命名为 timestamp。Elasticsearch 会对时间类型字段进行优化，便于范围查询。
   • 错误信息字段：使用 text 类型，命名为 error_message，用于存储具体的错误日志内容。为了提高查询效率，可同时添加一个 keyword 类型的字段 error_message_keyword，用于精确匹配和聚合操作。
2. 索引设置：
   • 分片和副本：根据数据量和服务器资源设置合适的分片数和副本数。如果数据量巨大，可适当增加分片数，但要注意过多分片会增加管理成本和查询开销。例如，对于一个预计有数十亿条日志的系统，可设置 10 - 20 个分片，副本数可设置为 1 - 2 个，以保证高可用性。

匹配查询语句

1. 查询特定时间段内的错误日志：

   {
       "query": {
           "range": {
               "timestamp": {
                   "gte": "2023 - 01 - 01T00:00:00",
                   "lte": "2023 - 01 - 31T23:59:59",
                   "format": "yyyy - MM - dd'T'HH:mm:ss"
               }
           }
       }
   }
   

2. 统计错误日志出现频率并筛选频率较高的：

   {
       "size": 0,
       "query": {
           "range": {
               "timestamp": {
                   "gte": "2023 - 01 - 01T00:00:00",
                   "lte": "2023 - 01 - 31T23:59:59",
                   "format": "yyyy - MM - dd'T'HH:mm:ss"
               }
           }
       },
       "aggs": {
           "error_messages": {
               "terms": {
                   "field": "error_message_keyword",
                   "size": 100, // 可根据需要调整返回的错误信息数量
                   "order": {
                       "_count": "desc"
                   }
               }
           }
       }
   }
   

上述查询语句中，先通过 range 查询筛选出特定时间段内的日志，然后使用 terms 聚合按照 error_message_keyword 字段统计不同错误信息的出现次数，并按照出现次数降序排列，返回出现频率较高的错误日志。