es查询语法从0到1:手把手教你写第一个查询
从零写出你的第一个 ES 查询:手把手带你穿透 Elasticsearch 的查询语法
你有没有遇到过这样的场景?用户在搜索框里输入“无线蓝牙耳机”,系统却返回了一堆不相关的结果;或者你想查最近一小时的日志,却发现数据库查询慢得像蜗牛。这些问题的背后,往往不是数据太多,而是检索方式不对。
Elasticsearch(简称 ES)正是为解决这类问题而生的——它不像传统数据库那样逐行扫描,而是通过倒排索引 + DSL 查询语言,实现毫秒级全文检索和复杂条件过滤。但对新手来说,ES 的查询语法(DSL)看起来就像一堆嵌套的 JSON,让人望而却步。
别担心。今天我们就抛开术语堆砌,用最直白的方式,带你从零写出你的第一个真正可用的 ES 查询。不需要先懂 Lucene 或分词原理,我们边做边学。
先搞清楚一件事:为什么不能直接用 SQL?
如果你习惯 MySQL,可能会想:“我用LIKE '%蓝牙耳机%'不就行了?”
听起来可以,但现实很残酷:
LIKE是全表扫描,百万级数据下响应时间以秒计;- 它不会“智能拆词”——搜“蓝牙耳机”匹配不到“带蓝牙功能的耳机”;
- 没有相关性排序,用户看到的可能是随机结果。
而 Elasticsearch 的核心优势就在于:
-分词处理:把“蓝牙耳机”拆成“蓝牙”“耳机”去匹配;
-倒排索引:提前建好“词 → 文档”的映射表,查找飞快;
-打分机制(_score):越相关的文档排越前;
-分布式架构:海量数据也能秒出结果。
这些能力,全都依赖一个关键入口:ES 查询语法(DSL)。
第一步:写一个最简单的全文搜索 ——match查询
假设我们有一个商品索引products,里面有字段title存储标题。现在要搜“智能手机”。
GET /products/_search { "query": { "match": { "title": "智能手机" } } }就这么简单?没错。这就是你的第一个 ES 查询。
它到底干了啥?
- ES 接收到请求后,会先把“智能手机”按该字段配置的分词器进行切词。
- 中文默认使用标准分词器(Standard),会切成 “智”“能”“手”“机”……显然不行。
- 实际项目中我们会装 IK 分词插件,让它切成 “智能”“手机” 或 “智能手机”。 - 然后在倒排索引中找包含这些词项的文档。
- 返回结果,并根据匹配程度计算
_score,自动排序。
⚠️ 小坑提示:如果你发现中文搜不出来,大概率是没装 IK 分词器。这是新手最常见的踩坑点。
如果我想两个词都必须出现怎么办?
比如搜“笔记本电脑”,我希望结果里同时有“笔记本”和“电脑”,而不是只含其中一个。
这时加个参数就行:
"match": { "title": { "query": "笔记本电脑", "operator": "and" } }这样就变成了 AND 逻辑,只有同时命中两个词的文档才会被返回。
记住一句话:
👉match用于文本字段,支持分词和相关性评分,适合用户输入的关键词搜索。
第二步:精确查找某个状态或标签 ——term查询
现在换个需求:我要查所有状态为"ACTIVE"的用户。
注意!这里的“ACTIVE”是一个枚举值,不是自然语言,不需要分词。你希望的是完全一致地匹配这个字符串。
这时候就不能用match了,要用term:
GET /users/_search { "query": { "term": { "status.keyword": { "value": "ACTIVE" } } } }为什么多了一个.keyword?
因为在 ES 映射设计中,一个字符串字段通常会被定义为两种类型:
-text:用于全文检索,会分词;
-keyword:用于精确匹配,不分词。
当你创建一个 string 字段时,默认会生成一个多字段结构:
"status": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }所以你要查精确值,就得访问它的.keyword子字段。
✅ 最佳实践:状态、标签、国家、设备类型等固定值字段,一律用
.keyword配合term查询。
第三步:组合多个条件 ——bool查询才是真正的主角
真实业务中的搜索从来不是单一条件。比如我们要实现这样一个查询:
找出名称包含“蓝牙耳机”、分类是“数码产品”、价格大于等于100元、且订单未取消的所有订单。
这就需要用到 ES 的万能组合拳:bool查询。
GET /orders/_search { "query": { "bool": { "must": [ { "match": { "product_name": "蓝牙耳机" }} ], "filter": [ { "term": { "category.keyword": "digital" }}, { "range": { "price": { "gte": 100 }}} ], "must_not": [ { "term": { "status.keyword": "cancelled" }} ] } } }四大逻辑块,各司其职
| 关键字 | 含义 | 是否影响打分 | 是否可缓存 | 使用场景 |
|---|---|---|---|---|
must | 必须满足 | ✅ 影响_score | ❌ | 主要搜索词 |
should | 可选满足(至少一个) | ✅ 提升分数 | ❌ | 相关推荐、权重提升 |
must_not | 必须不满足 | ❌ 不打分 | ✅ | 排除条件 |
filter | 必须满足 | ❌ 不打分 | ✅ | 过滤条件(分类、价格、时间等) |
重点来了:凡是不影响相关性的过滤条件,一定要放进filter!
因为filter上下文中的查询会被缓存,下次同样的条件直接读缓存,性能提升非常明显。
这也是很多线上系统优化的关键技巧之一。
第四步:处理时间和价格区间 ——range查询
时间范围、数值区间太常见了。比如查昨天的日志:
GET /logs/_search { "query": { "range": { "@timestamp": { "gte": "2024-04-04T00:00:00Z", "lt": "2024-04-05T00:00:00Z" } } } }支持的操作符:
-gt> 大于
-gte≥ 大于等于
-lt< 小于
-lte≤ 小于等于
还可以用相对时间表达式:
"range": { "@timestamp": { "gte": "now-1h/h" // 过去一小时内,按小时对齐 } }✅ 建议:时间字段一定要声明为date类型,否则当字符串处理会导致范围无效。
第五步:模糊匹配特殊格式 ——wildcard和regexp
有些时候你需要做模式匹配,比如:
- 查所有@example.com的邮箱;
- 找编号以LOG-2024开头的日志。
可以用通配符查询:
GET /accounts/_search { "query": { "wildcard": { "email.keyword": "*@example.com" } } }支持:
-*表示任意多个字符
-?表示单个字符
也可以用正则:
"regexp": { "log_id.keyword": "LOG-2024-[0-9]{4}" }⚠️ 警告:这类查询性能很差,尤其是前导通配符如*abc,因为它无法利用索引跳转,几乎等于全量扫描。
🔧 替代方案:
- 对高频模糊查询字段使用ngram分词预处理;
- 或者改用prefix查询(前缀匹配)效率更高。
实战案例:电商搜索是怎么做出来的?
设想一个典型的电商搜索页面:
- 用户输入框填了“苹果手机”
- 左侧筛选栏选了“品牌:Apple”、“价格:5000-8000”
后台最终生成的 DSL 应该长这样:
{ "query": { "bool": { "must": [ { "match": { "name": { "query": "苹果手机", "operator": "and" }}} ], "filter": [ { "term": { "brand.keyword": "Apple" }}, { "range": { "price": { "gte": 5000, "lte": 8000 }}} ] } }, "from": 0, "size": 20 }你看,整个逻辑非常清晰:
- 主搜词走must,参与打分;
- 品牌和价格走filter,高效过滤且可缓存;
- 分页控制用from/size,但注意不要深翻页(超过 10000 条性能骤降)。
💡 进阶建议:大数据量下应使用search_after替代from/size实现滚动翻页。
新手常踩的五个坑,帮你提前避雷
中文不分词导致搜不出结果
- 解决方案:安装 IK 分词插件并正确配置 mapping。该用
term却用了match
- 比如对 status 字段用match,结果因分词变成“stat”“us”而匹配失败。
- 记住:精确值 → keyword → term。把 filter 条件放进 must,浪费打分资源
- 分类、价格、时间这些不变条件统统放filter!滥用 wildcard 导致集群负载飙升
- 特别是*abc这种无前缀查询,尽量避免。不了解 mapping 导致字段类型错误
- 写入数据时不指定 mapping,ES 会自动推断,可能把你想要 keyword 的字段识别成 text。
- 建议:上线前明确设计好 mapping。
总结一下你现在能做什么
学到这里,你应该已经能够独立完成以下任务:
✅ 写出基于关键词的全文搜索(match)
✅ 对状态、标签等字段做精确匹配(term)
✅ 组合多个条件构建复杂查询(bool)
✅ 实现时间、价格等范围筛选(range)
✅ 处理邮箱、编号等模式匹配需求(wildcard/regexp)
✅ 区分must和filter,写出高性能查询
更重要的是,你理解了背后的设计思想:
-分词 vs 精确匹配
-打分 vs 过滤
-性能优先 vs 功能完整
这些认知比记住语法本身重要得多。
下一步你可以探索的方向
ES 的能力远不止于此。当你熟练掌握基础查询后,可以继续深入:
🔍聚合分析(aggregations):统计销量 Top10 商品、绘制价格分布图
💡高亮显示(highlight):让搜索词在结果中高亮展示
⚡Suggester:实现“搜索建议”功能,提升用户体验
🧠向量检索(kNN):结合 AI 模型做语义相似度搜索
🛡️安全控制:基于角色的字段级别访问权限(Field Level Security)
但请记住:所有高级功能,都是建立在你对match、term、bool这些基本构件的深刻理解之上的。
如果你正在搭建日志平台、做商品搜索、或是开发监控系统,不妨试着把今天的知识用起来。哪怕只是把一条 SQL 改写成等价的 DSL,也会让你对 ES 的理解上一个台阶。
最好的学习方式,永远是从写下第一行代码开始。
关键词回顾:es查询语法、match查询、term查询、bool查询、range查询、wildcard查询、regexp查询、DSL、filter上下文、倒排索引、相关性评分、keyword字段、全文检索、查询性能、搜索服务