📝
ES|QL基本文法まとめ：初心者でもわかる使い方ガイド

2024/09/19に公開
 1. はじめに
 ES|QLとはES|QL（Elasticsearch Query Language）は、Elasticsearchのデータを効率的に検索、分析、変換するために設計された強力なクエリ言語です。従来のElasticsearchクエリやElasticsearch SQLと比較して、より直感的で柔軟性の高い構文を提供し、複雑なデータ操作を簡単に行うことができます。
https://www.elastic.co/jp/blog/esql-elasticsearch-piped-query-language
ES|QLは、データの抽出から加工、集計まで、一連の操作をパイプライン処理として表現することができます。これにより、複雑なデータ分析タスクを段階的に組み立て、可読性の高いクエリを作成することが可能になります。

 ES|QLの特徴と利点直感的な構文: SQLに似た構文を採用しているため、データベース経験者にとって学習が容易です。
パイプライン処理: 複数のコマンドを連結してデータを段階的に処理できるため、複雑な分析も簡潔に表現できます。
柔軟なデータ操作: フィールドの追加、削除、変更、フィルタリング、ソートなど、多様なデータ操作をサポートしています。
強力な関数群: 数学、文字列処理、日付操作、地理空間分析など、幅広い関数を提供しています。
高度な集計機能: 複雑な統計分析や集計操作を簡単に実行できます。
Elasticsearchの機能との統合: Elasticsearchの高速検索や分散処理の利点を活かしつつ、より柔軟なデータ分析が可能です。
本記事では、ES|QLのクイックリファレンスを日本語で紹介します。このリファレンスを通じて、ES|QLの主要な機能や構文を簡潔に把握することができます。ES|QLの基本的な使い方から、よく使用される関数やコマンドまで、実用的な情報を提供します。このクイックリファレンスを活用することで、Elasticsearchでのデータ分析や操作の効率を大幅に向上させることができるでしょう。

 2. ES|QLの基本構造ES|QLクエリは、一連のコマンドで構成され、パイプライン処理の概念を採用しています。この構造を理解することで、効率的にクエリを作成し、複雑なデータ操作を行うことができます。

 クエリの構成ES|QLクエリは、以下の基本構造を持っています。
ソースコマンド
| 処理コマンド1
| 処理コマンド2

ソースコマンド
クエリの最初に配置され、データの取得元を指定します。
例：FROM、ROW、SHOWなどがあります。


処理コマンド
パイプ文字 | で区切られ、ソースコマンドの後に続きます。
データの加工、フィルタリング、集計などの操作を行います。
例：WHERE、EVAL、SORT、STATSなどがあります。


 パイプライン処理の概念ES|QLのパイプライン処理は、データを段階的に加工していく方式です。
各コマンドは、前のコマンドの出力を入力として受け取ります。
コマンドは順番に実行され、データを徐々に変換していきます。
最後のコマンドの出力が、クエリの最終結果となります。
例
FROM employees
| WHERE department == "Sales"
| EVAL yearly_bonus = salary * 0.1
| SORT yearly_bonus DESC
| LIMIT 10
このクエリは以下の手順で実行されます。

employeesインデックスからデータを取得
部門が"Sales"の従業員のみをフィルタリング
各従業員の年間ボーナスを計算
ボーナスの降順でソート
上位10件のみを取得
パイプライン処理により、複雑なデータ操作を論理的な手順に分解し、可読性の高いクエリを作成することができます。各ステップの結果を段階的に確認できるため、デバッグや最適化も容易になります。

 3. ソースコマンドソースコマンドは、ES|QLクエリの開始点となり、データの取得元を指定します。主要なソースコマンドには以下のものがあります。

 FROMFROMコマンドは、Elasticsearchのデータストリーム、インデックス、またはエイリアスから最大10,000件のドキュメントを取得します。
基本的な使用方法：
FROM インデックス名
例：
FROM employees
特徴：
複数のデータソースを指定する場合はカンマで区切るか、ワイルドカードを使用できます。

例：FROM employees-00001,employees-*
日付計算を使用してインデックスを参照できます。
メタデータフィールド（_index, _id, _version）にアクセスするにはMETADATAディレクティブを使用します。

例：FROM index [METADATA _index, _id]

 ROWROWコマンドは、指定した値を持つ1行のテーブルを生成します。主にテスト目的で使用されます。
基本的な使用方法：
ROW カラム名1 = 値1, カラム名2 = 値2, ...
例：
ROW a = 1, b = "two", c = null
特徴：
複数値のカラムを作成する場合は角括弧を使用します。

例：ROW a = [2, 1]
関数を使用して値を生成することもできます。

例：ROW a = ROUND(1.23, 0)

 SHOWSHOWコマンドは、デプロイメントやその機能に関する情報を返します。
基本的な使用方法：
SHOW 項目
主な使用例：

SHOW INFO: デプロイメントのバージョン、ビルド日、ハッシュを返します。

SHOW FUNCTIONS: サポートされているすべての関数とその概要を返します。
これらのソースコマンドを使用することで、Elasticsearchのデータや、テスト用のデータ、システム情報など、様々なソースからデータを取得し、ES|QLクエリの開始点として利用することができます。

 4. 処理コマンド処理コマンドは、ソースコマンドやその他の処理コマンドからの出力を加工し、データの変換、フィルタリング、集計などを行います。以下に主要な処理コマンドを紹介します。

 DISSECTDISSECTコマンドは、文字列からパターンマッチングを使用して構造化データを抽出します。
使用例：
ROW a = "1953-01-23T12:15:00Z - some text - 127.0.0.1"
| DISSECT a "%{Y}-%{M}-%{D}T%{h}:%{m}:%{s}Z - %{msg} - %{ip}"

 DROPDROPコマンドは、テーブルから指定したカラムを削除します。
使用例：
FROM employees
| DROP height
ワイルドカードを使用して複数のカラムを一度に削除することもできます。
FROM employees
| DROP height*

 ENRICHENRICHコマンドは、既存のインデックスからデータを追加します。エンリッチポリシーを必要とします。
使用例：
ROW language_code = "1"
| ENRICH languages_policy

 EVALEVALコマンドは、新しいカラムを追加したり、既存のカラムを変更したりします。
使用例：
FROM employees
| KEEP first_name, last_name, height
| EVAL height_feet = height * 3.281, height_cm = height * 100

 GROKGROKコマンドは、正規表現ベースのパターンを使用して構造化データを抽出します。
使用例：
ROW a = "12 15.5 15.6 true"
| GROK a "%{NUMBER:b:int} %{NUMBER:c:float} %{NUMBER:d:double} %{WORD:e:boolean}"

 KEEPKEEPコマンドは、指定したカラムのみを保持し、他のカラムを削除します。
使用例：
FROM employees
| KEEP first_name, last_name, height

 LIMITLIMITコマンドは、結果の行数を制限します。
使用例：
FROM employees
| LIMIT 5

 MV_EXPANDMV_EXPANDコマンドは、複数値フィールドを展開し、各値に対して1行ずつ生成します。
使用例：
ROW a=[1,2,3], b="b", j=["a","b"]
| MV_EXPAND a

 RENAMERENAMEコマンドは、カラムの名前を変更します。
使用例：
FROM employees
| KEEP first_name, last_name, still_hired
| RENAME still_hired AS employed

 SORTSORTコマンドは、指定したカラムでデータをソートします。
使用例：
FROM employees
| KEEP first_name, last_name, height
| SORT height DESC

 STATS ... BYSTATS ... BYコマンドは、グループ化と集計を行います。
使用例：
FROM employees
| STATS count = COUNT(emp_no) BY languages
| SORT languages

 WHEREWHEREコマンドは、条件に基づいてデータをフィルタリングします。
使用例：
FROM employees
| KEEP first_name, last_name, still_hired
| WHERE still_hired == true
これらの処理コマンドを組み合わせることで、複雑なデータ操作や分析を実行することができます。

 5. 関数ES|QLは豊富な関数を提供しており、これらを使用することでデータの加工や分析を効率的に行うことができます。主要な関数を以下のカテゴリに分けて紹介します。

 数学関数ABS: 絶対値を返します。

例: EVAL abs_number = ABS(number)
CEIL: 数値を切り上げて最も近い整数を返します。

例: EVAL a = CEIL(1.8)
FLOOR: 数値を切り下げて最も近い整数を返します。

例: EVAL a = FLOOR(1.8)
ROUND: 指定した小数点以下の桁数で四捨五入します。

例: EVAL height_ft = ROUND(height * 3.281, 1)
POW: べき乗を計算します。

例: EVAL result = POW(base, exponent)

 文字列関数CONCAT: 2つ以上の文字列を連結します。

例: EVAL fullname = CONCAT(first_name, " ", last_name)
LENGTH: 文字列の長さを返します。

例: EVAL fn_length = LENGTH(first_name)
SUBSTRING: 文字列の一部を抽出します。

例: EVAL ln_sub = SUBSTRING(last_name, 1, 3)
TO_LOWER: 文字列を小文字に変換します。

例: EVAL message_lower = TO_LOWER(message)
TO_UPPER: 文字列を大文字に変換します。

例: EVAL message_upper = TO_UPPER(message)

 日付・時間関数NOW: 現在の日時を返します。

例: ROW current_date = NOW()
DATE_FORMAT: 日付を指定したフォーマットの文字列に変換します。

例: EVAL hired = DATE_FORMAT("YYYY-MM-dd", hire_date)
DATE_PARSE: 文字列を日付に変換します。

例: EVAL date = DATE_PARSE("yyyy-MM-dd", date_string)
DATE_TRUNC: 日付を指定した単位で切り捨てます。

例: EVAL year_hired = DATE_TRUNC(1 year, hire_date)

 地理空間関数ST_DISTANCE: 2点間の距離を計算します。

例: EVAL distance = ST_DISTANCE(location, city_location)
ST_CONTAINS: 第一の地理形状が第二の地理形状を含むかどうかを返します。

例: WHERE ST_CONTAINS(city_boundary, TO_GEOSHAPE("POLYGON((...))"))

 型変換関数TO_BOOLEAN: 入力値をブール値に変換します。

例: EVAL bool = TO_BOOLEAN(str)
TO_DOUBLE: 入力値を倍精度浮動小数点数に変換します。

例: EVAL dbl = TO_DOUBLE(str)
TO_INTEGER: 入力値を整数に変換します。

例: EVAL int = TO_INTEGER(long)
TO_STRING: 入力値を文字列に変換します。

例: EVAL str = TO_STRING(num)

 その他の関数COALESCE: 最初の非nullの引数を返します。

例: EVAL result = COALESCE(a, b, c)
CASE: 条件に基づいて値を返します。

例:
EVAL type = CASE(
  languages <= 1, "monolingual",
  languages <= 2, "bilingual",
  "polyglot")
IN: 値がリスト内に存在するかチェックします。

例: WHERE department IN ("Sales", "Marketing")
これらの関数を組み合わせることで、複雑なデータ操作や条件分岐を簡潔に表現することができます。

 6. 集計関数ES|QLの集計関数は、主にSTATS ... BYコマンドと共に使用され、データの要約や統計的分析を行うのに役立ちます。以下に主要な集計関数を紹介します。

 基本的な集計関数AVG: 数値フィールドの平均値を計算します。

例: STATS AVG(salary)
COUNT: 入力値の総数をカウントします。

例: STATS COUNT(height)
行数をカウントする場合は COUNT(*) または COUNT() を使用します。
MAX: 数値フィールドの最大値を返します。

例: STATS MAX(languages)
MIN: 数値フィールドの最小値を返します。

例: STATS MIN(languages)
SUM: 数値フィールドの合計を計算します。

例: STATS SUM(salary)

 高度な集計関数MEDIAN: 数値フィールドの中央値を計算します。

例: STATS MEDIAN(salary)
MEDIANはPERCENTILE(field, 50)と同等です。
PERCENTILE: 指定したパーセンタイルの値を計算します。

例: STATS p95 = PERCENTILE(salary, 95)
COUNT_DISTINCT: ユニークな値の概算数をカウントします。

例: STATS COUNT_DISTINCT(ip_address)
この関数は近似値を返します。精度は第2引数で調整可能です（デフォルトは3000）。
MEDIAN_ABSOLUTE_DEVIATION: 中央絶対偏差を計算します。

例: STATS MEDIAN(salary), MEDIAN_ABSOLUTE_DEVIATION(salary)
TOP: フィールドの上位の値を収集します。

例: STATS top_salaries = TOP(salary, 3, "desc")

 使用上の注意点複数の集計を同時に行うことができます。
STATS 
  avg_salary = AVG(salary),
  max_salary = MAX(salary),
  employee_count = COUNT(*)
BY句を使用してグループ化できます。
STATS 
  avg_salary = AVG(salary) 
BY 
  department
集計関数内で他の関数を使用できます。
STATS 
  avg_salary_change = AVG(MV_AVG(salary_change))
近似値を返す関数（MEDIAN, PERCENTILE, COUNT_DISTINCT）は、若干の誤差がある可能性があります。
VALUESは、グループ内のすべての値を多値フィールドとして返します。
STATS 
  first_names = MV_SORT(VALUES(first_name)) 
BY 
  department
これらの集計関数を使用することで、大量のデータから意味のある統計情報を抽出し、データの傾向や特徴を把握することができます。

 7. グループ化関数ES|QLのグループ化関数は、データを効果的にカテゴリ化し、分析するのに役立ちます。現在、主要なグループ化関数はBUCKET関数です。

 BUCKET関数BUCKET関数は、日時や数値のデータをグループ（バケット）に分類します。この関数は主にSTATS ... BYコマンドと共に使用され、時系列データの分析やヒストグラムの作成に特に有用です。

 基本的な使用方法BUCKET関数は2つのモードで動作します。
バケットサイズを直接指定する方法
目標バケット数と値の範囲を指定し、適切なバケットサイズを自動的に決定する方法
バケットサイズを直接指定する場合FROM employees
| STATS hires_per_week = COUNT(*) BY week = BUCKET(hire_date, 1 week)
| SORT week
この例では、雇用日を1週間ごとのバケットにグループ化しています。
目標バケット数と範囲を指定する場合FROM employees
| WHERE hire_date >= "1985-01-01T00:00:00Z" AND hire_date < "1986-01-01T00:00:00Z"
| STATS hires_per_month = COUNT(*) BY month = BUCKET(hire_date, 20, "1985-01-01T00:00:00Z", "1986-01-01T00:00:00Z")
| SORT month
この例では、1985年の雇用データを最大20のバケットに分類しています。

 数値データでの使用BUCKET関数は数値データにも適用できます。
FROM employees
| STATS COUNT(*) by salary_range = BUCKET(salary, 20, 25000, 75000)
| SORT salary_range
この例では、給与データを20のバケットに分類しています。

 注意点BUCKETは指定された範囲外のデータも含みます。範囲を制限したい場合は、WHEREで事前にフィルタリングしてください。
バケットサイズを直接指定する場合、日時データでは期間（例：1 week）、数値データでは浮動小数点数（例：5000.0）を使用します。
BUCKETは0件のバケットを生成しません。そのため、データのない期間や範囲は結果に含まれません。
STATS ... BYコマンドの集計部分でもBUCKET関数を使用できますが、グループ化部分で定義されたエイリアスを参照するか、完全に同じ式を使用する必要があります。

 応用例時系列データの分析
FROM sample_data
| WHERE @timestamp >= NOW() - 1 day and @timestamp < NOW()
| STATS event_count = COUNT(*) BY hour = BUCKET(@timestamp, 25, NOW() - 1 day, NOW())
| SORT hour
この例では、過去24時間のデータを1時間ごとのバケットに分類し、各時間帯のイベント数をカウントしています。
BUCKET関数を効果的に使用することで、大量のデータを管理しやすい単位にグループ化し、時系列分析やデータの分布を視覚化するためのヒストグラムを簡単に作成することができます。

 8. 演算子ES|QLは様々な種類の演算子をサポートしており、これらを使用することでデータの比較、結合、変換などの操作を行うことができます。主要な演算子を以下のカテゴリに分けて紹介します。

 比較演算子等価 (==): 2つの値が等しいかどうかを比較します。

例: WHERE department == "Sales"
不等価 (!=): 2つの値が等しくないかどうかを比較します。

例: WHERE status != "Inactive"
小なり (<): 左辺が右辺より小さいかどうかを比較します。

例: WHERE age < 30
以下 (<=): 左辺が右辺以下かどうかを比較します。

例: WHERE salary <= 50000
大なり (>): 左辺が右辺より大きいかどうかを比較します。

例: WHERE experience > 5
以上 (>=): 左辺が右辺以上かどうかを比較します。

例: WHERE rating >= 4.5

 算術演算子加算 (+): 2つの数値を加算します。

例: EVAL total_compensation = salary + bonus
減算 (-): 左辺から右辺を減算します。

例: EVAL age = 2023 - birth_year
乗算 (*): 2つの数値を乗算します。

例: EVAL area = length * width
除算 (/): 左辺を右辺で除算します。

例: EVAL average_score = total_score / num_tests
剰余 (%): 左辺を右辺で除算した余りを返します。

例: EVAL is_odd = id % 2

 論理演算子AND: 両方の条件が真の場合に真を返します。

例: WHERE department == "Sales" AND performance > 80
OR: いずれかの条件が真の場合に真を返します。

例: WHERE status == "Active" OR last_login >= NOW() - 30 days
NOT: 条件の真偽を反転させます。

例: WHERE NOT (department == "HR")

 特殊な演算子IN: 値がリスト内に存在するかどうかをチェックします。

例: WHERE department IN ("Sales", "Marketing", "Engineering")
LIKE: 文字列がパターンに一致するかどうかをチェックします（ワイルドカード * と ? を使用可能）。

例: WHERE name LIKE "John*"
RLIKE: 文字列が正規表現パターンに一致するかどうかをチェックします。

例: WHERE email RLIKE "^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\\.[a-zA-Z]{2,}$"
IS NULL / IS NOT NULL: 値がNULLであるかどうかをチェックします。

例: WHERE manager_id IS NULL
CAST (::): 値を指定した型に変換します（TO_<type>関数の代替構文）。

例: EVAL year = (birth_date :: STRING)::INT

 使用上の注意点比較演算子を使用する際は、データ型の一致に注意してください。
論理演算子を組み合わせる場合は、括弧を使用して優先順位を明確にすることをお勧めします。
LIKE演算子はパフォーマンスに影響を与える可能性があるため、大規模なデータセットでの使用には注意が必要です。
IN演算子は、多数の値を比較する際に便利ですが、リストが非常に大きい場合はパフォーマンスに影響を与える可能性があります。
これらの演算子を適切に組み合わせることで、複雑な条件や計算を簡潔に表現することができます。

 9. NULL値の扱いES|QLでのNULL値の扱いは、データ分析やクエリ作成において重要な要素です。NULL値は、値が存在しない、または未知であることを表します。以下に、ES|QLでのNULL値の扱い方について説明します。

 NULL値の検出NULL値を検出するには、IS NULLおよびIS NOT NULL演算子を使用します。
IS NULL: フィールドがNULLかどうかをチェックします。

例:
FROM employees
| WHERE manager_id IS NULL
IS NOT NULL: フィールドがNULLでないかどうかをチェックします。

例:
FROM employees
| WHERE birth_date IS NOT NULL

 関数でのNULL値の扱い多くの関数は、NULL値を含む演算で特定の動作をします。
COALESCE関数: 最初の非NULL値を返します。

例:
FROM employees
| EVAL display_name = COALESCE(nickname, first_name, "Anonymous")
集計関数: 多くの集計関数（SUM, AVG, MAX, MIN等）は、NULL値を無視します。

例:
FROM sales
| STATS 
    total_sales = SUM(amount),
    avg_sales = AVG(amount)
文字列関数: 多くの文字列関数は、NULL入力に対してNULLを返します。

例:
FROM employees
| EVAL upper_name = TO_UPPER(name)

 NULL値のソートSORTコマンドを使用する際、デフォルトではNULL値は他のすべての値よりも大きいとみなされます。
昇順ソートでは、NULL値は最後に配置されます。
降順ソートでは、NULL値は最初に配置されます。
NULL値の位置を明示的に指定するには、NULLS FIRSTまたはNULLS LASTを使用します。
FROM employees
| SORT salary ASC NULLS FIRST

 注意点NULL値とゼロ（0）や空文字列（""）は異なります。これらを区別して扱う必要があります。
WHERE句での条件評価において、NULL値を含む比較は予期しない結果を生む可能性があるため、注意が必要です。
関数や演算子によっては、NULL値の扱いが異なる場合があります。使用する前に、各関数や演算子のドキュメントを確認することをお勧めします。
データの品質や完全性を確保するために、NULL値の存在を定期的にチェックし、適切に処理することが重要です。
ES|QLでNULL値を適切に扱うことで、より正確で信頼性の高いデータ分析を行うことができます。NULL値の存在を常に意識し、必要に応じて適切な処理を行うようにしましょう。

 10. ES|QLのパフォーマンス最適化ES|QLを効果的に使用するためには、クエリのパフォーマンスを最適化することが重要です。このセクションでは、ES|QLクエリのパフォーマンスを向上させるための主要な戦略と技術について説明します。

 パフォーマンスの最適化戦略適切なインデックス設計
頻繁に検索や集計を行うフィールドにはインデックスを設定しましょう。
テキストフィールドには適切なアナライザーを使用し、必要に応じてkeywordフィールドも追加しましょう。
フィルタリングの最適化
できるだけ早い段階でデータをフィルタリングし、処理するデータ量を減らしましょう。
範囲フィルタよりも等価フィルタの方が高速です。可能な場合は等価フィルタを使用しましょう。
例：
FROM logs
| WHERE timestamp >= NOW() - 1 day AND status == "error"
| STATS count = COUNT(*) BY error_code
集計の最適化
大規模なデータセットでの集計操作は計算コストが高くなる可能性があります。可能な限り、集計前にデータをフィルタリングしましょう。
STATS ... BYを使用する際は、グループ化するフィールドの種類を最小限に抑えましょう。
LIMIT の使用
大量のデータを扱う場合、特に結果をソートする必要がある場合は、LIMITを使用して出力を制限しましょう。
例：
FROM sales
| SORT amount DESC
| LIMIT 100
適切なデータ型の使用
数値比較には数値型を、文字列比較にはキーワード型を使用しましょう。
日付操作には日付型を使用し、文字列としての比較は避けましょう。
複雑な正規表現の使用を避ける
複雑な正規表現（特にRLIKE）の使用は、パフォーマンスに大きな影響を与える可能性があります。可能な場合は、より単純な文字列操作や等価比較を使用しましょう。
キャッシュの活用
頻繁に実行されるクエリに対しては、Elasticsearchのクエリキャッシュを活用しましょう。
これらの最適化戦略を適切に組み合わせることで、ES|QLを使用して効率的で強力なデータ分析を行うことができます。常にクエリのパフォーマンスをモニタリングし、必要に応じて最適化を行うことが重要です。パフォーマンスの最適化は継続的なプロセスであり、データ量の増加やクエリの複雑化に応じて、定期的に見直しと調整を行うことをお勧めします。

 11. まとめ
 ES|QLの強みと活用シーンES|QL (Elasticsearch Query Language) は、Elasticsearchのデータを効率的に検索、分析、変換するための強力なツールです。本記事を通じて、ES|QLの主要な機能と使用方法を見てきました。ここで、ES|QLの主な強みと、それが特に有用となる活用シーンをまとめてみます。
直感的な構文
SQLに似た構文を採用しているため、データベース経験者にとって学習が容易です。
複雑なJSONクエリを書く必要がなく、可読性の高いクエリを作成できます。
柔軟なデータ操作
パイプライン処理により、複数の操作を連鎖させて複雑なデータ変換を実現できます。
フィールドの追加、削除、変更、フィルタリング、ソートなど、多様な操作が可能です。
強力な集計機能
STATS ... BY コマンドを使用して、高度な集計や統計分析を簡単に実行できます。
複数の集計関数を組み合わせることで、複雑な分析も可能です。
時系列データの分析
BUCKET関数を使用することで、時系列データの効率的な分析やヒストグラムの作成が可能です。
地理空間データの処理
地理空間関数を使用して、位置情報データの分析や処理を行うことができます。
ES|QLは以下のような場面で特に有用です。
大規模なログデータの分析とモニタリング
eコマースプラットフォームでの売上分析や顧客行動の追跡
IoTデバイスからのセンサーデータの処理と可視化
複雑なビジネスレポートの生成
リアルタイムのダッシュボード作成

 参考資料とリソースElasticsearch公式ドキュメント
ES|QL公式ガイド
Elastic Community
Elastic Blogで最新情報をチェック
ES|QLは強力で柔軟なクエリ言語であり、Elasticsearchのデータを最大限に活用するための素晴らしいツールです。本記事に記載した内容を基に、実際のデータ分析や処理に ES|QLを活用していただければ幸いです。
1. はじめに

ES|QLとは

ES|QLの特徴と利点

2. ES|QLの基本構造

クエリの構成

パイプライン処理の概念

3. ソースコマンド

FROM

ROW

SHOW

4. 処理コマンド

DISSECT

DROP

ENRICH

EVAL

GROK

KEEP

LIMIT

MV_EXPAND

RENAME

SORT

STATS ... BY

WHERE

5. 関数

数学関数

文字列関数

日付・時間関数

地理空間関数

型変換関数

その他の関数

6. 集計関数

基本的な集計関数

高度な集計関数

使用上の注意点

7. グループ化関数

BUCKET関数

基本的な使用方法

バケットサイズを直接指定する場合

目標バケット数と範囲を指定する場合

数値データでの使用

注意点

応用例

8. 演算子

比較演算子

算術演算子

論理演算子

特殊な演算子

使用上の注意点

9. NULL値の扱い

NULL値の検出

関数でのNULL値の扱い

NULL値のソート

注意点

10. ES|QLのパフォーマンス最適化

パフォーマンスの最適化戦略

11. まとめ

ES|QLの強みと活用シーン

参考資料とリソース

Discussion
