在 Elasticsearch 中，_all 查詢是一種特殊的查詢方式，用于在多個索引或數據流中執行搜索操作，而無需顯式指定每個目標索引或數據流的名稱。以下是關于 _all 查詢的詳細說明：

---

_all 查詢概述

• 用途：_all 查詢允許您在多個索引或數據流中進行搜索，而無需指定具體的索引名稱。這在處理多個索引時非常方便，尤其是在動態索引或索引模式較多的場景中。

• 語法：_all 查詢可以通過 REST API 的路徑參數或請求體中指定。它支持多種查詢方式，包括簡單的查詢字符串查詢和復雜的查詢 DSL。

使用方法

1. 通過 REST API 路徑參數

• 格式：

  http復制

  GET /_all/_search

• 示例：

  http復制

  GET /_all/_search
  {"query": {"match_all": {}}
  }

  這個查詢將在所有索引中搜索所有文檔。

2. 通過請求體

• 格式：

  http復制

  GET /_all/_search
  {"query": {"match": {"_all": "search_term"}}
  }

• 示例：

  http復制

  GET /_all/_search
  {"query": {"match": {"_all": "example"}}
  }

  這個查詢將在所有索引中搜索包含 "example" 的文檔。

參數說明

• _all：表示對所有索引進行搜索。

• query：定義具體的查詢條件，可以使用 Elasticsearch 的查詢 DSL。

• match_all：匹配所有文檔的查詢。

• match：基于文本匹配的查詢，支持對 _all 字段進行搜索。

注意事項

1. 性能影響：

   • 使用 _all 查詢可能會對性能產生影響，因為它需要在所有索引中進行搜索。如果索引數量較多，建議使用更具體的索引名稱或索引模式（如 my-index-*）來限制搜索范圍。

2. 默認行為：

   • 如果沒有指定任何索引或別名，Elasticsearch 默認會搜索所有索引。

3. 安全性和權限：

   • 如果啟用了安全功能，用戶需要對目標索引或別名具有 read 權限。

示例

示例 1：搜索所有索引中的所有文檔

http復制

GET /_all/_search
{"query": {"match_all": {}}
}

示例 2：搜索所有索引中包含特定文本的文檔

http復制

GET /_all/_search
{"query": {"match": {"_all": "specific_text"}}
}

示例 3：結合其他參數使用 _all 查詢

http復制

GET /_all/_search
{"query": {"match": {"_all": "example"}},"from": 0,"size": 10,"sort": [{ "@timestamp": "desc" }]
}

---

總結

_all 查詢是 Elasticsearch 提供的一種靈活的搜索方式，特別適用于需要在多個索引中進行搜索的場景。然而，由于其可能會對性能產生影響，建議在實際使用中根據具體需求合理選擇索引范圍。