Elasticsearch术语聚合和查询
我有两种日志消息:
Jul 23 09:24:16 rrr mrr-core[222]: Aweg3AOMTs_1563866656871111.mt processMTMessage() #12798 realtime: 5.684 ms
Jul 23 09:24:18 rrr mrr-core[2222]: Aweg3AOMTs_1563866656871111.0.dn processDN() #7750 realtime: 1.382 ms
第一个消息是已发送消息的类型,第二个消息是确认消息已传递的消息。
它们之间的区别是后缀,我已将其与“ id”分开并可以对其进行查询。
这些消息将按以下格式解析并存储在elasticsearch中:
messageId: Aweg3AOMTs_1563866656871111.0.dn
text: Aweg3AOMTs
num1: 1563866656871111
num2: 0
suffix: mt/dn
我想找出哪些消息已成功发送,哪些没有成功。我是Elasticsearch的初学者,所以我真的很努力。
我目前正在尝试术语聚合,但是我所能实现的就是以下代码:
GET /my_index3/_search
{
"size": 0,
"aggs": {
"num1": {
"terms": {
"field": "messageId.keyword",
"include": ".*mt*."
}
}
}
}
向我显示已发送的消息。我不知道如何在其中添加一些过滤器或子句,以仅显示同时带有mt和dn后缀的消息。
如果有人有想法,我将非常感激:))
问题答案:
在messageId.keyword上运行术语聚合不是很好,因为每个消息都是不同的(“
Aweg3AOMTs_1563866656871111111.0.dn”与“ Aweg3AOMTs_1563866656871111.mt”不同)。
通过查看docs结构,我认为您最好num1对.mt和.dn消息的常见部分运行术语聚合。该聚合将为您提供每个唯一num1的邮件数。因此,对于每条收到请求和响应的消息,计数为2,只有请求的消息的计数为1。
如果您还想查看数字本身,则可以在内部添加一个嵌套的聚合,例如大小为1的热门匹配聚合,它将在其中显示该num1字段:
GET /my_index3/_search {
"size": 0,
"aggs": {
"num1": {
"terms": {
"field": "num1",
"order": {
"_count": "desc"
},
"aggs": {
"count_of_distinct_suffix": {
"cardinality": {
"field": "suffix"
},
"aggs": {
"filter_count_is_2": {
"bucket_selector": {
"buckets_path": {
"the_doc_count": "_count"
},
"script": "the_doc_count == 2"
}
}
}
}
}
}
}
}
}
-
问题内容: 我正在尝试使用以下查询对以下数据进行elasticsearch来执行术语聚合,输出将名称分解为标记(请参见下面的输出)。因此,我尝试将os_name映射为multi_field,但现在无法通过它查询。是否可以有没有令牌的索引?例如“ Fedora Core”? 查询: 数据: 输出: 映射: 问题答案: 实际上,您应该像这样更改映射 并且您的aggs应该更改为:
-
我们目前正在开发一个多语言文档CMS。因此,我们有翻译成不同语言的文件。 对于使用Elasticsearch进行搜索,我们目前使用每种语言(德语、英语、法语……)一个索引,其中同一文档的所有翻译共享相同的ID。 当用户搜索特定术语时,我们希望在所有语言中搜索,但只返回不同ID的列表。据我所知,只有使用以下术语聚合才能做到这一点: 这很好,但是作为弹性搜索文档https://www.elastic.
-
我有一个存储字符串数组的字段。不同的文档包含不同的字符串集。 现在,我使用这个聚合查询来分析每个文件类型的使用情况。 结果与预期一致。但最近我在删除XML文件支持后更新了此字段。因此,文档的non具有文件类型XML。我可以从这个查询中确认这一点。 总命中计数为零。奇怪的是,当我再次执行上述聚合查询时,我仍然可以将XML视为一个术语。doc count为零。 如果这个XML术语在任何文档中都不存在,
-
问题内容: 如何编写一个将整个字段值而不是单个标记考虑在内的ElasticSearch术语聚合查询?比如,我想通过城市名聚集,但下面的回报,,并作为单独的水桶,不和的水桶预期。 问题答案: 您应该在映射中解决此问题。添加一个not_analyzed字段。如果您还需要分析的版本,则可以创建多字段。 现在在city.raw上创建聚合
-
以下是数据集的快照: 我想获得员工名单以及employeeStatus和employeeAddr。 所以我在employeeId上使用术语聚合,然后使用employeeStatus和employeeAddr的子聚合来获得这些详细信息。下面的查询正确返回结果。 现在我只想要永久身份的员工。所以我正在应用过滤器聚合。 现在的问题是雇员地址聚合没有为雇员地址返回存储桶,因为记录2在聚合完成之前就被过滤掉
-
我们使用elasticsearch收集SQL统计信息。一旦我们注意到一些条目没有出现在聚合中。 下面是一个示例请求(最初由kibana生成): 这是elasticsearch的答案: 聚合包含一个bucket,用于“选择IDPU,count(*)作为HRSCNT…”。这是正确的。 但是为什么“select*from(select a. IDPU...”只在点击中列出,而不出现在聚合中? Elast