• 在类似于gender或者age这样的字段上使用结构化查询，join_date这样的字段上使用排序，就像SQL的结构化查询一样。
• 全文检索，可以使用所有字段来匹配关键字，然后按照关联性(relevance) 排序返回结果。
• 或者结合以上两条。

测试数据

本章节测试用的数据可以在这里被找到https://gist.github.com/clintongormley/8579281

你可以把这些命令复制到终端中执行以便可以实践本章的例子。

{
   "hits" : {
      "total" :       14,
      "hits" : [
        {
          "_index":   "us",
          "_type":    "tweet",
          "_id":      "7",
          "_score":   1,
          "_source": {
             "date":    "2014-09-17",
             "name":    "John Smith",
             "tweet":   "The Query DSL is really powerful and flexible",
             "user_id": 2
          }
       },
        ... 9 RESULTS REMOVED ...
      ],
      "max_score" :   1
   },
   "took" :           4,
   "_shards" : {
      "failed" :      0,
      "successful" :  10,
      "total" :       10
   },
   "timed_out" :      false
}

• 响应中最重要的部分是hits，它包含了total字段来表示匹配到的文档总数，hits数组还包含了匹配到的前10条数据。
• hits数组中的每个结果都包含_index、_type和文档的_id字段，被加入到_source字段中这意味着在搜索结果中我们将可以直接使用全部文档。这不像其他搜索引擎只返回文档ID，需要你单独去获取文档。
• 每个节点都有一个_score字段，这是相关性得分(relevance score) ，它衡量了文档与查询的匹配程度。默认的，返回的结果中关联性最大的文档排在首位；这意味着，它是按照_score降序排列的。这种情况下，我们没有指定任何查询，所以所有文档的相关性是一样的，因此所有结果的_score都是取得一个中间值1
• max_score指的是所有文档匹配查询中_score的最大值。

• time_out值告诉我们查询超时与否。一般的，搜索请求不会超时。如果响应速度比完整的结果更重要，你可以定义timeout参数为10或者10ms（10毫秒），或者1s（1秒）

  GET /_search?timeout=10ms
  

• Elasticsearch将返回在请求超时前收集到的结果。
• 超时不是一个断路器（circuit breaker）（译者注：关于断路器的理解请看警告）。

警告

需要注意的是timeout不会停止执行查询，它仅仅告诉你目前 顺利返回结果的节点然后关闭连接。在后台，其他分片可能依旧执行查询，尽管结果已经被发送。

使用超时是因为对于你的业务需求（译者注：SLA，Service-Level Agreement服务等级协议，在此我翻译为业务需求）来说非常重要，而不是因为你想中断执行长时间运行的查询。

• /_search：在所有索引的所有类型中搜索
• /gb/_search：在索引gb的所有类型中搜索
• /gb,us/_search：在索引gb和us的所有类型中搜索
• /g*,u*/_search：在以g或u开头的索引的所有类型中搜索
• /gb/user/_search：在索引gb的类型user中搜索
• /gb,us/user,tweet/_search：在索引gb和us的类型为user和tweet中搜索
• /_all/user,tweet/_search：在所有索引的user和tweet中搜索 search types user and tweet in all indices

重要

搜索一个索引有5个主分片和5个索引各有一个分片事实上是一样的 。

• size: 结果数，默认10
• from: 跳过开始的结果数，默认0

GET /_search?size=5
GET /_search?size=5&from=5
GET /_search?size=5&from=10

在集群系统中深度分页

为了理解为什么深度分页是有问题的，让我们假设在一个有5个主分片的索引中搜索。当我们请求结果的第一页（结果1到10）时，每个分片产生自己最顶端10个结果然后返回它们给请求节点(requesting node) ，它再排序这所有的50个结果以选出顶端的10个结果。

现在假设我们请求第1000页——结果10001到10010。工作方式都相同，不同的是每个分片都必须产生顶端的10010个结果。然后请求节点排序这50050个结果并丢弃50040个！

你可以看到在分布式系统中，排序结果的花费随着分页的深入而成倍增长。这也是为什么网络搜索引擎中任何语句不能返回多于1000个结果的原因。

• 查询字符串搜索对于在命令行下运行点对点(ad hoc) 查询特别有用。例如这个语句查询所有类型为tweet并在tweet字段中包含elasticsearch字符的文档：

  GET /_all/tweet/_search?q=tweet:elasticsearch
  

• 下一个语句查找name字段中包含"john"和tweet字段包含"mary"的结果。实际的查询只需要：

  + name:john +tweet:mary
  

• 但是百分比编码(percent encoding) （译者注：就是url编码）需要将查询字符串参数变得更加神秘：

  GET /_search?q=%2Bname%3Ajohn+%2Btweet%3Amary
  

• "+"前缀表示语句匹配条件必须 被满足。类似的"-"前缀表示条件必须不 被满足。所有条件如果没有+或-表示是可选的——匹配越多，相关的文档就越多。

• 返回包含"mary"字符的所有文档的简单搜索：

  GET /_search?q=mary
  

• 用户的名字是“Mary”
• “Mary”发的六个推文
• 针对“@mary”的一个推文

• 当你索引一个文档，Elasticsearch把所有字符串字段值连接起来放在一个大字符串中，它被索引为一个特殊的字段_all。例如，当索引这个文档：

  {
      "tweet":    "However did I manage before Elasticsearch?",
      "date":     "2014-09-14",
      "name":     "Mary Jones",
      "user_id":  1
  }
  

• 这好比我们增加了一个叫做_all的额外字段值：

  "However did I manage before Elasticsearch? 2014-09-14 Mary Jones 1"
  

• 若没有指定字段，查询字符串搜索（即q=xxx）使用_all字段搜索。

TIP

_all字段对于开始一个新应用时是一个有用的特性。之后，如果你定义字段来代替_all字段，你的搜索结果将更加可控。当_all字段不再使用，你可以停用它，这个会在《全字段》章节阐述。

• 下一个搜索推特的语句：
  • _all field
    • name字段包含"mary"或"john"
    • date晚于2014-09-10
    • _all字段包含"aggregations"或"geo"

  + name:(mary john) +date:>2014-09-10 +(aggregations geo)
  

• 编码后的查询字符串变得不太容易阅读：

  ?q=%2Bname%3A(mary+john)+%2Bdate%3A%3E2014-09-10+%2B(aggregations+geo)
  

TIP

因为这些原因，我们不建议直接暴露查询字符串搜索给用户，除非这些用户对于你的数据和集群可信。