Elasticsearch

es按照时间粒度聚合查询数据结果比实际数据多

贡献

Timor 回复了问题 • 2 人关注 • 2 个回复 • 1771 次浏览 • 2019-10-11 10:13 • 来自相关话题

exception caught on transport layer

贡献

doom 回复了问题 • 2 人关注 • 1 个回复 • 2094 次浏览 • 2019-10-11 07:15 • 来自相关话题

数值的keyword字段排序

贡献

trycatchfinal 回复了问题 • 3 人关注 • 4 个回复 • 3010 次浏览 • 2019-10-11 10:31 • 来自相关话题

elasticsearch7.2.0 源码导入idea 运行异常 An SPI

shiyu1992 发起了问题 • 1 人关注 • 0 个回复 • 1586 次浏览 • 2019-10-10 18:31 • 来自相关话题

Elasticsearch集群规划求助

贡献

chencandong 回复了问题 • 7 人关注 • 2 个回复 • 3375 次浏览 • 2019-10-11 14:49 • 来自相关话题

多种场景下的融合搜索有什么比较合理的方案呢？

贡献

core_wzw 回复了问题 • 4 人关注 • 3 个回复 • 1998 次浏览 • 2019-10-11 14:38 • 来自相关话题

es集群某个数据节点宕机，然后又恢复了，会发生什么？

贡献

sec_master 回复了问题 • 4 人关注 • 5 个回复 • 17559 次浏览 • 2019-10-16 17:34 • 来自相关话题

运行ElastAlert后，在哪里可以看到由ElastAlert反馈的日志信息？

orli 发起了问题 • 1 人关注 • 0 个回复 • 3204 次浏览 • 2019-10-10 15:07 • 来自相关话题

ES Aggs根据聚合的结果（数值）进行过滤

ziyou 发表了文章 • 1 个评论 • 23800 次浏览 • 2019-10-10 14:32 • 来自相关话题

前言

我们在使用聚合时总是有各种各样的聚合需求，其中一个比较常用的就是根据聚合的结果过滤聚合的桶，例如：1、每个IP登录次数超过5次的IP；2、每个IP登录人数超过2的IP。
还有我之前的一个案例，[访问量超过1000的人数](
https://elasticsearch.cn/article/13435)，这些都是很常见的统计需求。

案例需求

我们在使用聚合计算的时候一般都有两类，一种是计算文档的数量，另一种是计算文档内字段的值的数量（去重计算）或者值的数学计算。两种聚合计算在过滤的时候采用不同的方法来计算。

我们使用以下案例来说明两种过滤的不同：
用户每次登录都会记录一个登录记录:
JSON {"userID":"a","IP":"10.70.25.1","time":"2019-10-10 12:12:12.222"} 
然后提出以下两个需求：
1、每个IP登录次数超过5次的IP；
2、每个IP登录人数超过2的IP。

实现

每个IP登录次数超过5次的IP

这个是对登录记录个数的桶聚合统计，然后过滤。使用IP做term聚合，就可以得出每个IP的登录次数，然后term聚合中有一个参数min_doc_count这个字段就可以对文档数量进行过滤，具体的语句如下：
查询语句
JSON { "aggs": { "IP": { "terms": { "field": "IP", "size": 3000, "order": { "_count": "desc" }, "min_doc_count": 5 } } }, "size": 0 } 
结果
JSON { "took" : 614, "timed_out" : false, "num_reduce_phases" : 3, "_shards" : { "total" : 1105, "successful" : 1105, "skipped" : 75, "failed" : 0 }, "hits" : { "total" : 2826, "max_score" : 0.0, "hits" : [ ] }, "aggregations" : { "IP" : { "doc_count_error_upper_bound" : 0, "sum_other_doc_count" : 0, "buckets" : [ { "key" : "10.25.90.139", "doc_count" : 61 }, { "key" : "10.25.78.146", "doc_count" : 45 }, { "key" : "10.25.94.22", "doc_count" : 21 }, { "key" : "10.25.75.52", "doc_count" : 18 }, { "key" : "10.25.89.32", "doc_count" : 13 }, { "key" : "10.25.93.243", "doc_count" : 10 }, { "key" : "10.25.78.189", "doc_count" : 9 }, { "key" : "10.25.90.82", "doc_count" : 8 }, { "key" : "10.25.91.240", "doc_count" : 8 }, { "key" : "10.25.90.57", "doc_count" : 7 }, { "key" : "10.25.91.251", "doc_count" : 7 }, { "key" : "10.25.95.166", "doc_count" : 6 }, { "key" : "10.25.89.33", "doc_count" : 5 }, { "key" : "10.25.90.88", "doc_count" : 5 }, { "key" : "10.25.92.53", "doc_count" : 5 } ] } } }

每个IP登录人数超过2的IP

这个是对登录记录用户ID的去重数聚合，然后过滤。对用户ID进行去重可以使用Cardinality Aggregation聚合，然后再使用Bucket Selector Aggregation聚合过滤器过滤数据。具体内容如下：
查询语句
JSON { "aggs": { "IP": { "terms": { "field": "IP", "size": 3000, "order": { "distinct": "desc" }, "min_doc_count": 5 }, "aggs": { "distinct": { "cardinality": { "field": "IP.keyword" } }, "dd":{ "bucket_selector": { "buckets_path": {"userCount":"distinct"}, "script": "params.userCount > 2" } } } } }, "size": 0 } 
结果
JSON { "took" : 317, "timed_out" : false, "num_reduce_phases" : 3, "_shards" : { "total" : 1105, "successful" : 1105, "skipped" : 75, "failed" : 0 }, "hits" : { "total" : 2826, "max_score" : 0.0, "hits" : [ ] }, "aggregations" : { "IP" : { "doc_count_error_upper_bound" : 0, "sum_other_doc_count" : 0, "buckets" : [ { "key" : "10.25.75.52", "doc_count" : 18, "distinct" : { "value" : 4 } }, { "key" : "10.25.78.146", "doc_count" : 45, "distinct" : { "value" : 3 } }, { "key" : "10.25.90.139", "doc_count" : 61, "distinct" : { "value" : 3 } }, { "key" : "10.25.91.240", "doc_count" : 8, "distinct" : { "value" : 3 } }, { "key" : "10.25.94.22", "doc_count" : 21, "distinct" : { "value" : 3 } } ] } } }