如何使用opensearchpy获取查询的所有结果

解决OpenSearch查询结果限制：Scroll API详解

在使用opensearch进行大规模数据分析时，一个常见的问题是标准搜索api（client.search）默认或最大只能返回10,000条结果。当需要检索的文档数量远超此限制时，例如进行全面的日志分析或数据导出，传统的from和size参数将不再适用，因为它们无法突破这一硬性上限。此时，opensearch提供的scroll api便成为了解决方案。

Scroll API旨在允许用户检索一个大型查询结果集，其工作原理是创建一个搜索上下文（search context），该上下文会保存查询在特定时间点的快照。通过迭代这个上下文，用户可以分批次地获取所有匹配的文档，而无需担心10,000条结果的限制。

1. OpenSearch客户端初始化

首先，需要正确初始化opensearch-py客户端，以便与OpenSearch集群建立连接。这包括指定主机、端口、认证信息、SSL配置和连接超时等参数。

from opensearchpy import OpenSearch, RequestsHttpConnection
import csv

# 替换为你的OpenSearch集群信息
host = 'your-opensearch-host'
port = 443
auth = ('username', 'password') # 或者使用AWSV4Signer等认证方式

client = OpenSearch(
    hosts=[{"host": host, "port": port}],
    http_auth=auth,
    use_ssl=True,
    timeout=300,
    verify_certs=True,
    connection_class=RequestsHttpConnection,
    pool_maxsize=20,
)

2. 构建查询体

查询体定义了你想要检索的数据的条件。为了优化性能和减少网络传输，建议只请求你需要的字段，而不是整个_source文档。这可以通过在查询体中设置_source: False并指定fields列表来实现。

query_body = {
    "size": 10000, # 每次滚动获取的最大文档数，通常设置为10000
    "timeout": "300s",
    "query": {
        "bool": {
            "must": [
                {"match": {"type": "req"}},
                {"range": {"@timestamp": {"gte": "now-7d/d", "lte": "now/d"}}},
                {"wildcard": {"req_h_user_agent": {"value": "*googlebot*"}}},
            ]
        }
    },
    "fields": [
        "@timestamp",
        "resp_status",
        "resp_bytes",
        "req_h_referer",
        "req_h_user_agent",
        "req_h_host",
        "req_uri",
        "total_response_time",
    ],
    "_source": False, # 不返回完整的_source，只返回fields中指定的字段
}

3. 发起初始搜索请求并获取Scroll ID

使用client.search方法发起第一次搜索请求时，需要额外指定scroll参数。这个参数告诉OpenSearch保持一个搜索上下文，并指定该上下文的过期时间（例如'1m'表示1分钟）。响应中会包含一个_scroll_id，这是后续滚动请求的凭证。

index_name = "fastly-*" # 你的索引模式

initial_response = client.search(
    scroll='1m', # 滚动上下文的有效期，每次滚动请求都会刷新此有效期
    body=query_body,
    index=index_name,
)

# 获取初始的滚动ID
scroll_id = initial_response["_scroll_id"]

4. 迭代获取所有结果

获取到_scroll_id后，可以通过一个循环不断调用client.scroll方法，并传入上一次请求返回的_scroll_id。每次调用都会返回下一批结果，直到hits列表为空，表示所有匹配的文档都已检索完毕。

MyBatis3.2.3帮助文档 中文CHM版

MyBatis 是支持普通 SQL 查询,存储过程和高级映射的优秀持久层框架。MyBatis 消除 了几乎所有的 JDBC 代码和参数的手工设置以及结果集的检索。MyBatis 使用简单的 XML 或注解用于配置和原始映射,将接口和 Java 的 POJOs(Plan Old Java Objects,普通的 Java 对象)映射成数据库中的记录。有需要的朋友可以下载看看

下载

在循环内部，可以对检索到的数据进行处理，例如写入CSV文件。

all_hits = [] # 用于存储所有检索到的文档
hits = initial_response["hits"]["hits"] # 第一次请求的文档

# 打开CSV文件并写入表头
with open("report.csv", "w", newline='', encoding='utf-8') as f:
    writer = csv.writer(f)
    writer.writerow(
        [
            "timestamp",
            "url",
            "response code",
            "bytes",
            "response_time",
            "referer",
            "user agent",
        ]
    )

    # 处理第一次请求返回的文档
    for hit in hits:
        fields = hit["fields"]
        writer.writerow(
            [
                fields["@timestamp"][0] if "@timestamp" in fields else '',
                (fields["req_h_host"][0] + fields["req_uri"][0]) if "req_h_host" in fields and "req_uri" in fields else '',
                fields["resp_status"][0] if "resp_status" in fields else '',
                fields["resp_bytes"][0] if "resp_bytes" in fields else '',
                fields["total_response_time"][0] if "total_response_time" in fields else '',
                fields["req_h_referer"][0] if "req_h_referer" in fields else '',
                fields["req_h_user_agent"][0] if "req_h_user_agent" in fields else '',
            ]
        )

    # 循环获取剩余的文档
    while len(hits) > 0:
        scroll_response = client.scroll(
            scroll='1m', # 每次滚动请求都刷新滚动上下文的有效期
            scroll_id=scroll_id
        )

        hits = scroll_response["hits"]["hits"]
        if not hits: # 如果没有更多结果，则退出循环
            break

        # 处理当前批次的文档
        for hit in hits:
            fields = hit["fields"]
            writer.writerow(
                [
                    fields["@timestamp"][0] if "@timestamp" in fields else '',
                    (fields["req_h_host"][0] + fields["req_uri"][0]) if "req_h_host" in fields and "req_uri" in fields else '',
                    fields["resp_status"][0] if "resp_status" in fields else '',
                    fields["resp_bytes"][0] if "resp_bytes" in fields else '',
                    fields["total_response_time"][0] if "total_response_time" in fields else '',
                    fields["req_h_referer"][0] if "req_h_referer" in fields else '',
                    fields["req_h_user_agent"][0] if "req_h_user_agent" in fields else '',
                ]
            )

        # 更新滚动ID，以备下一次请求使用
        scroll_id = scroll_response["_scroll_id"]

print("所有结果已成功导出到 report.csv")

注意事项：

• _source: False与fields: 使用_source: False并指定fields可以显著提高查询效率，因为OpenSearch无需解析和返回完整的原始文档。fields返回的字段值通常是列表，即使只有一个值，也需要通过索引[0]来访问。
• scroll参数的生命周期: scroll参数的值（如'1m'）定义了搜索上下文的有效期。每次client.scroll调用都会重置这个计时器。如果在这个时间内没有进行下一次滚动请求，搜索上下文将过期，导致无法继续获取结果。
• 资源消耗: 滚动上下文会占用OpenSearch集群的内存资源。因此，在使用完毕后，或者在确定不再需要时，应显式地清除滚动上下文。虽然在所有结果被检索完后，上下文通常会自动清除，但在长时间运行或异常中断的情况下，手动清除是一个好习惯。
• 数据一致性: Scroll API提供的是查询在某一时刻的“快照”。这意味着在滚动过程中，即使索引中的数据发生了变化（新增、删除、更新），你仍然会基于初始快照获取结果。如果需要获取实时更新的数据，Scroll API可能不是最佳选择，可以考虑使用search_after或Point In Time (PIT) API（OpenSearch 2.x及更高版本）。
• 错误处理: 在实际应用中，应添加更健壮的错误处理机制，例如网络中断、OpenSearch集群不可用或无效的_scroll_id等情况。

总结

通过opensearch-py结合OpenSearch的Scroll API，可以有效地突破10,000条结果的限制，实现对大规模数据集的完整检索。这种方法特别适用于数据导出、离线分析或需要处理所有匹配文档的场景。理解Scroll API的工作原理和相关注意事项，能够帮助开发者更高效、稳定地处理OpenSearch中的海量数据。