Elastic Blog - Elasticsearch, Kibana, and ELK Stack
·
ES|QL连接来了!没错,连接!
💡
原文英文,约1700词,阅读约需7分钟。
📝
内容提要
Elasticsearch 8.18引入了ES|QL的LOOKUP JOIN命令,这是首个SQL风格的JOIN,支持数据关联,简化数据管理并提升查询效率,适用于安全事件与威胁情报的关联等多种场景。
🎯
关键要点
- Elasticsearch 8.18引入了ES|QL的LOOKUP JOIN命令,这是首个SQL风格的JOIN。
- LOOKUP JOIN命令支持数据关联和丰富,允许使用可轻松更新的查找数据集。
- LOOKUP JOIN是基于新的索引模式lookup的SQL风格LEFT OUTER JOIN。
- Elasticsearch历史上缺乏JOIN能力,之前的解决方案限制了可扩展性。
- LOOKUP JOIN简化了数据管理,允许实时更新查找数据集。
- LOOKUP JOIN支持多种用例,如安全事件与威胁情报的关联。
- 使用LOOKUP JOIN可以轻松添加环境、员工信息等到日志中。
- 创建查找索引的方法包括使用Kibana的索引管理、API或机器学习文件上传。
- LOOKUP JOIN在查询时可能增加延迟,适用于特定场景。
- 未来计划扩展JOIN类型,提供INNER JOIN或子查询等功能。
❓
延伸问答
ES|QL的LOOKUP JOIN命令有什么新功能?
LOOKUP JOIN命令支持数据关联和丰富,允许使用可轻松更新的查找数据集,是首个SQL风格的JOIN。
如何创建一个LOOKUP索引?
可以通过Kibana的索引管理、API或机器学习文件上传来创建LOOKUP索引,确保选择索引模式为'lookup'。
LOOKUP JOIN适合哪些应用场景?
LOOKUP JOIN适用于安全事件与威胁情报的关联、环境和员工信息的添加等多种场景。
使用LOOKUP JOIN会有什么性能影响?
使用LOOKUP JOIN可能会增加查询延迟,因此适用于特定场景,需谨慎使用。
LOOKUP JOIN与传统的ENRICH命令有什么区别?
LOOKUP JOIN比ENRICH更易于设置和管理,无需创建政策,且查找索引是可写的。
未来对LOOKUP JOIN有什么扩展计划?
未来计划扩展JOIN类型,提供INNER JOIN或子查询等功能,并允许对任何索引进行JOIN。
🏷️
标签
➡️
