ElasticSearch如何聚合“copy_to”字段
我需要按9个文件分组,并在ElasticSearch中获得每个组的计数,原始代码使用“脚本”,性能很差,所以我需要优化它。我设法创建了一个新的字段并使用“copy_to”,但是当我与新的字段聚合时,我发现了一些问题。
我使用“src ip”和“dst ip”字段作为测试,copy_to字段是“agg condition”。下面是映射:
PUT /test_index
{
"settings": {
"number_of_replicas": 0,
"number_of_shards": 1
},
"mappings": {
"dynamic_templates": [
{
"set_copy_to": {
"match": "^(src|dst).+",
"match_pattern": "regex",
"mapping": {
"copy_to": "aggCondition",
"fields": {
"keyword": {
"ignore_above": 256,
"type": "keyword"
}
},
"type": "text"
}
}
}
]
}
}
然后我给它添加一些数据
{
"srcIp":"192.0.0.1",
"dstIp":"192.0.1.1"
}
{
"srcIp":"192.0.1.1",
"dstIp":"192.0.2.1"
}
{
"srcIp":"192.0.2.1",
"dstIp":"192.0.0.1"
}
然后我看到kibana中的映射,它看起来是这样的:
{
"mappings": {
"_doc": {
"dynamic_templates": [
{
"set_copy_to": {
"match": "^(src|dst).+",
"match_pattern": "regex",
"mapping": {
"copy_to": "aggCondition",
"fields": {
"keyword": {
"ignore_above": 256,
"type": "keyword"
}
},
"type": "text"
}
}
}
],
"properties": {
"aggCondition": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
}
},
"dstIp": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
},
"copy_to": [
"aggCondition"
]
},
"srcIp": {
"type": "text",
"fields": {
"keyword": {
"type": "keyword",
"ignore_above": 256
}
},
"copy_to": [
"aggCondition"
]
}
}
}
}
}
GET /test_index/_search
{
"aggs": {
"Ips": {
"terms": {
"field": "aggCondition.keyword"
}
}
}
}
"aggregations" : {
"Ips" : {
"doc_count_error_upper_bound" : 0,
"sum_other_doc_count" : 0,
"buckets" : [
{
"key" : "192.0.0.1",
"doc_count" : 2
},
{
"key" : "192.0.1.1",
"doc_count" : 2
},
{
"key" : "192.0.2.1",
"doc_count" : 2
}
]
}
}
"aggregations" : {
"Ips" : {
"doc_count_error_upper_bound" : 0,
"sum_other_doc_count" : 0,
"buckets" : [
{
"key" : "[192.0.0.1 192.0.1.1]",
"doc_count" : 1
},
{
"key" : "[192.0.1.1 192.0.2.1]",
"doc_count" : 1
},
{
"key" : "[192.0.2.1 192.0.0.1]",
"doc_count" : 1
}
]
}
}
我可以做什么来得到我期望的结果,或者有没有其他方法来有效地聚合多个字段?
共有1个答案
dynamic_templates和copy_to不适合您的情况。最好动态计算一个索引SRC/DST IP对的新字段。您可以使用Ingest管道和append和join处理器来创建新字段。
PUT _ingest/pipeline/ip-pipeline
{
"processors": [
{
"append": {
"field": "srcDst",
"value": ["{{{srcIp}}}", "{{{dstIp}}}"]
}
},
{
"join": {
"field": "srcDst",
"separator": "-"
}
}
]
}
然后,当您索引一个新文档时,您可以指定这个管道,新字段将被创建:
PUT my-index/_doc/1?pipeline=ip-pipeline
{
"srcIp":"192.0.0.1",
"dstIp":"192.0.1.1"
}
您的索引文档如下所示:
{
"srcIp":"192.0.0.1",
"dstIp":"192.0.1.1",
"srcDst": "192.0.0.1-192.0.1.1"
}
-
问题内容: 我有一个包含两个字符串字段的索引映射,并且都被声明为copy_to到另一个名为的字段。 索引为“ not_analyzed”。 当我在上创建存储桶聚合时,我期望field1和field2的键连接在一起的不同存储桶。取而代之的是,我得到了带有未连接的field1和field2键的单独存储桶。 示例:映射: 数据在: 和 聚合: 结果: 我期待只有2桶,和 我究竟做错了什么? 问题答案:
-
问题内容: 我正在尝试创建一个脚本字段,该脚本字段将计算两个时间戳之间的时间差,然后在该脚本字段上聚合一个。 我首先尝试: 在合计平均值下产生价值。 然后我尝试了: 生成了一条错误消息,内容为:“在映射中找不到[timedifference]的字段” 问题答案: 简单地将脚本移到聚合上怎么样?
-
框架集合由搜索查询选择的所有数据。框架中包含许多构建块,有助于构建复杂的数据描述或摘要。聚合的基本结构如下所示 - 有以下不同类型的聚合,每个都有自己的目的 - 指标聚合 这些聚合有助于从聚合文档的字段值计算矩阵,并且某些值可以从脚本生成。 数字矩阵或者是平均聚合的单值,或者是像一样的多值。 平均聚合 此聚合用于获取聚合文档中存在的任何数字字段的平均值。 例如, 请求正文 响应 如果该值不存在于一
-
问题内容: 我将此数据插入了Elasticsearch: 旁注:重现: 1)下载:http://wmo.co/20160928_es_query/bulk.json 2)执行:卷曲-s -XPOST ‘ 的http://本地主机:9200 /测试/外部/ _bulk漂亮 ‘ -数据二进制@ bulk.json 问题: 获取每个“位置”有多少记录的计数。 解决方案1:存储桶聚合..没有得到期望的结果
-
问题内容: 我想在字段上使用stats或extended_stats聚合,但是找不到完成此操作的任何示例(即,似乎只能将聚合与实际文档字段一起使用)。 是否有可能计算出“元数据”在ElasticSearch查询响应每个命中字段请求集合(例如,,,,等等)? 我假设答案是“否”,因为未对类似字段进行索引… 问题答案: 注意:就最新版本的Elasticsearch而言,原始答案现在已过时。使用Groo
-
我看到一些关于嵌套字段和聚合的帖子,但它们似乎都没有回答我的问题。所以,如果这是一个重复的问题,请原谅,如果有任何帮助,我们将不胜感激。 我们建立了一个讲座索引,讲座具有以下特点: 讲座可以是面对面(现场)或预先录制(在线) 每个讲座可以有多个章节 这些章节中的每一个都可以由不同的讲师讲解(例如:量子物理的第一章可以由五个不同的讲师讲解,其中三个可能是现场直播,另外两个可能在线) 在线讲座每个讲师