基于Elasticsearch的告警数据查询方法、系统及设备技术方案

本申请公开了一种基于Elasticsearch的告警数据查询方法、系统及设备，主要涉及告警数据查询技术领域，用以解决现有的告警数据查询方法检索耗时的问题。包括：获取Elasticsearch数据库对应的父文档字段和子文档字段；确定父文档和子文档，将子文档数据存储至HBase数据库；确定新增数据中的告警数据和文件数据；将告警数据存入HBase数据库中，获得告警数据对应的rowkey；根据告警数据与文件数据建立关联关系；建立告警数据、rowkey和子文档字段之间的rowkey对应列表，并将rowkey对应列表存储至Elasticsearch数据库。Elasticsearch数据库。Elasticsearch数据库。

【技术实现步骤摘要】
基于Elasticsearch的告警数据查询方法、系统及设备


[0001]本申请涉及告警数据查询
，尤其涉及一种基于Elasticsearch的告警数据查询方法、系统及设备。

技术介绍

[0002]现有的，告警数据的接入，采取父子文档的结构，对数据提供查询操作，父节点数据包含告警文件原始内容、针对内容分析后的属性信息，子节点数据包含告警相关信息，如数据源、文件名、文件大小、所属行业等，数据按月索引。对数据查询操作包含关联查询、聚合查询、模糊查询、统计查询。通过对父子文档的查询，提供告警推荐数据给业务人员，助其完成相关研判处置操作，以完成企业互联网数据防泄密。
[0003]但是，随着数据源，如检测器、终端等数据量的增多，告警数据接入数据量从开始的千万级别，到上亿级别。当网络出现重大告警，告警数据量将会激增。对复杂关联条件、聚合、模糊等查询操作，服务器完成查询操作的消耗时间从开始的小于1秒，到6秒
‑
10秒，最长的要耗费几十秒，严重影响了用户体验。
[0004]因此，亟需一种基于Elasticsearch的告警数据查询方法、系统及设备，以解决上述技术问题。为保密业务提供的查询服务，在高并发查询条件下，能提供毫秒级响应，以提高工作效率，提升用户体验，满足用户需求。

技术实现思路

[0005]针对现有技术的上述不足，本申请提供一种基于Elasticsearch的告警数据查询方法、系统及设备，以解决上述技术问题。
[0006]第一方面，本申请提供了一种基于Elasticsearch的告警数据查询方法，方法包括：根据历史数据，获取Elasticsearch数据库对应的父文档字段和子文档字段；获取查询字段，以确定父文档和子文档，并将子文档对应的数据存储至HBase数据库中；获取新增数据，确定新增数据中的告警数据和文件数据；将告警数据存入HBase数据库中，以获得告警数据对应的rowkey；根据告警数据与文件数据建立子文档字段与父文档字段之间的关联关系；建立告警数据、rowkey和子文档字段之间的rowkey对应列表，并将rowkey对应列表存储至Elasticsearch数据库。
[0007]进一步地，方法还包括：通过预设对外查询服务接口获取父子文档查询语句；确定父子文档查询语句是否包括子文档字段；当包括子文档字段时，根据子文档字段，获得对应的rowkey对应列表；进而根据rowkey对应列表，从HBase数据库中调取对应的告警数据。
[0008]进一步地，根据历史数据，获取Elasticsearch数据库对应的父文档字段和子文档字段；获取查询字段，以确定父文档和子文档，并将子文档对应的数据存储至HBase数据库中，具体包括：根据历史数据，获取历史数据对应的父文档字段和子文档字段；通过预设对外查询服务接口获取查询字段；确定查询字段涉及是否涉及父文档字段和子文档字段；在查询字段只涉及父文档字段时，将涉及的父文档字段存储在父文档中；在只涉及子文档字
段时，将涉及的子文档字段存储在子文档中；在同时涉及父文档字段和子文档字段时，将涉及的父文档字段和子文档字段都作为子文档字段存储在子文档中；将子文档存储至HBase数据库中。
[0009]进一步地，在根据告警数据与文件数据建立子文档字段与父文档字段之间的关联关系之前，方法包括：根据子文档，对告警数据进行子文档检索，确定告警数据对应的子文档字段。
[0010]进一步地，根据告警数据与文件数据建立子文档字段与父文档字段之间的关联关系，具体包括：确定告警数据对应的子文档字段；根据父文档，对文件数据进行父文档检索，确定文件数据对应的父文档字段；获取预设索引id，根据预设索引id建立告警数据对应的子文档字段与文件数据对应的父文档字段之间的关联关系。
[0011]第二方面，本申请提供了一种基于Elasticsearch的告警数据查询系统，系统包括：存储模块，用于根据历史数据，获取Elasticsearch数据库对应的父文档字段和子文档字段；获取查询字段，以确定父文档和子文档，并将子文档对应的数据存储至HBase数据库中；建立模块，用于获取新增数据，确定新增数据中的告警数据和文件数据；将告警数据存入HBase数据库中，以获得告警数据对应的rowkey；根据告警数据与文件数据建立子文档字段与父文档字段之间的关联关系；对应模块，用于建立告警数据、rowkey和子文档字段之间的rowkey对应列表，并将rowkey对应列表存储至Elasticsearch数据库。
[0012]进一步地，系统还包括检索模块，用于通过预设对外查询服务接口获取父子文档查询语句；确定父子文档查询语句是否包括子文档字段；当包括子文档字段时，根据子文档字段，获得对应的rowkey对应列表；进而根据rowkey对应列表，从HBase数据库中调取对应的告警数据。
[0013]进一步地，存储模块包括存储单元，用于根据历史数据，获取历史数据对应的父文档字段和子文档字段；通过预设对外查询服务接口获取查询字段；确定查询字段涉及是否涉及父文档字段和子文档字段；在查询字段只涉及父文档字段时，将涉及的父文档字段存储在父文档中；在只涉及子文档字段时，将涉及的子文档字段存储在子文档中；在同时涉及父文档字段和子文档字段时，将涉及的父文档字段和子文档字段都作为子文档字段存储在子文档中；将子文档存储至HBase数据库中。
[0014]进一步地，建立模块包括建立单元，用于确定告警数据对应的子文档字段；根据父文档，对文件数据进行父文档检索，确定文件数据对应的父文档字段；获取预设索引id，根据预设索引id建立告警数据对应的子文档字段与文件数据对应的父文档字段之间的关联关系。
[0015]第三方面，本申请提供了一种基于Elasticsearch的告警数据查询设备，设备包括：处理器；以及存储器，其上存储有可执行代码，当可执行代码被执行时，使得处理器执行如上述任一项的一种基于Elasticsearch的告警数据查询方法。
[0016]本领域技术人员能够理解的是，本申请至少具有如下有益效果：本专利技术的基于ElasticSearch父子文档的结构特性，提出了一种父子文档拆分构造方法，对父子结构进行拆分，分别索引，优化后索引库，原始告警数据存入HBase，能够使用户对数据字段进行完整搜索。为海量告警数据（亿级）接入情况下，为保密业务提供的查询服务，在高并发查询条件下，能提供毫秒级响应，以提高工作效率，提升用户体验，满足用
户需求。
附图说明
[0017]下面参照附图来描述本公开的部分实施例，附图中：图1是本申请实施例提供的一种基于Elasticsearch的告警数据查询方法流程图。
[0018]图2是本申请实施例提供的一种基于Elasticsearch的告警数据查询系统内部结构示意图。
[0019]图3是本申请实施例提供的一种基于Elasticsearch的告警数据查询设备内部结构示意图。
具体实施方式
[0020本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于Elasticsearch的告警数据查询方法，其特征在于，所述方法包括：根据历史数据，获取Elasticsearch数据库对应的父文档字段和子文档字段；获取查询字段，以确定父文档和子文档，并将子文档对应的数据存储至HBase数据库中；获取新增数据，确定新增数据中的告警数据和文件数据；将告警数据存入HBase数据库中，以获得告警数据对应的rowkey；根据告警数据与文件数据建立子文档字段与父文档字段之间的关联关系；建立告警数据、rowkey和子文档字段之间的rowkey对应列表，并将rowkey对应列表存储至Elasticsearch数据库。2.根据权利要求1所述的基于Elasticsearch的告警数据查询方法，其特征在于，所述方法还包括：通过预设对外查询服务接口获取父子文档查询语句；确定父子文档查询语句是否包括子文档字段；当包括子文档字段时，根据子文档字段，获得对应的rowkey对应列表；进而根据rowkey对应列表，从HBase数据库中调取对应的告警数据。3.根据权利要求1所述的基于Elasticsearch的告警数据查询方法，其特征在于，根据历史数据，获取Elasticsearch数据库对应的父文档字段和子文档字段；获取查询字段，以确定父文档和子文档，并将子文档对应的数据存储至HBase数据库中，具体包括：根据历史数据，获取历史数据对应的父文档字段和子文档字段；通过预设对外查询服务接口获取查询字段；确定查询字段涉及是否涉及父文档字段和子文档字段；在查询字段只涉及父文档字段时，将涉及的父文档字段存储在父文档中；在只涉及子文档字段时，将涉及的子文档字段存储在子文档中；在同时涉及父文档字段和子文档字段时，将涉及的父文档字段和子文档字段都作为子文档字段存储在子文档中；将子文档存储至HBase数据库中。4.根据权利要求1所述的基于Elasticsearch的告警数据查询方法，其特征在于，在根据告警数据与文件数据建立子文档字段与父文档字段之间的关联关系之前，所述方法包括：根据子文档，对告警数据进行子文档检索，确定告警数据对应的子文档字段。5.根据权利要求4所述的基于Elasticsearch的告警数据查询方法，根据告警数据与文件数据建立子文档字段与父文档字段之间的关联关系，具体包括：确定告警数据对应的子文档字段；根据父文档，对文件数据进行父文档检索，确定文件数据对应的父文档字段；获取预设索引id，根据预设索引id建立告警数据对应的子文档字段与文件数据对...

【专利技术属性】
技术研发人员：张建东，郑传义，张胜猛，
申请(专利权)人：南京中孚信息技术有限公司，
类型：发明
国别省市：