在Elasticsearch中，ip类型是专门用于存储和查询IP地址（IPv4和IPv6）的数据类型。ip类型会生成倒排索引，这样可以支持对IP地址的精确匹配和范围查询。

ip 类型的索引行为

索引结构

ip类型字段会生成倒排索引，类似于其他支持精确匹配和范围查询的数据类型（如keyword类型和numeric类型）。对于每个IP地址，Elasticsearch会将其转换为一个整数值，并为这些整数值创建倒排索引。

映射示例

定义一个索引并设置ip_address字段为ip类型：

PUT /my_index
{
  "mappings": {
    "properties": {
      "ip_address": {
        "type": "ip"
      }
    }
  }
}

插入一些文档：

POST /my_index/_doc/1
{
  "ip_address": "192.168.1.1"
}

POST /my_index/_doc/2
{
  "ip_address": "192.168.1.2"
}

POST /my_index/_doc/3
{
  "ip_address": "10.0.0.1"
}

查询示例

精确匹配查询

可以使用term查询来查找特定的IP地址：

GET /my_index/_search
{
  "query": {
    "term": {
      "ip_address": "192.168.1.1"
    }
  }
}

这个查询会返回ip_address字段值为192.168.1.1的文档。

范围查询

可以使用range查询来查找在特定范围内的IP地址：

GET /my_index/_search
{
  "query": {
    "range": {
      "ip_address": {
        "gte": "192.168.1.1",
        "lte": "192.168.1.255"
      }
    }
  }
}

这个查询会返回ip_address字段值在192.168.1.1到192.168.1.255范围内的文档。

结论

• 索引生成：ip类型字段会生成倒排索引。
• 索引结构：类似于其他精确匹配和范围查询的数据类型，支持高效的精确匹配和范围查询。
• 适用场景：用于存储和查询IP地址，适合日志分析、网络监控等应用场景。

通过为ip类型字段生成倒排索引，Elasticsearch能够高效地执行IP地址相关的查询操作，这对于处理大量网络数据和日志数据非常有用。