Question

我是弹性搜索新手，我想在其上实现一个特定的用例。我想要一个多字段和聚合。我会尝试解释一下例子：我有以下对象插入es索引：

{"a":"aval", "b":"bval", "c":"cval", "aggcount":100}

其中a，b和是字符串，aggcount是int。现在让我们假设我有以下记录索引：

{"a":"aa", "b":"bb", "c":"cc", "aggcount":10}
{"a":"aa", "b":"bb", "c":"cc", "aggcount":11}
{"a":"aa", "b":"b", "c":"c", "aggcount":1}
{"a":"a", "b":"bb", "c":"cc", "aggcount":12}
{"a":"a", "b":"bb", "c":"cc", "aggcount":5}

现在我想按字段a，b和c对记录进行分组，并将它们的aggcount值相加，所以对于以前的记录，我会得到以下结果：

{"a":"aa", "b":"bb", "c":"cc", "count":21}
{"a":"aa", "b":"b", "c":"c", "count":1}
{"a":"a", "b":"bb", "c":"cc", "aggcount":17}

有人可以告诉我如何实现这个目标吗？我尝试了嵌套的significant_terms和sum聚合，但我没有成功。提前致谢。

Answer 1

使用子聚合：

{
  "aggs": {
    "aggs_a": {
      "terms": {
        "field": "a"
      },
      "aggs": {
        "aggs_b": {
          "terms": {
            "field": "b"
          },
          "aggs": {
            "aggs_c": {
              "terms": {
                "field": "c"
              },
              "aggs": {
                "summing": {
                  "sum": {
                    "field": "aggcount"
                  }
                }
              }
            }
          }
        }
      }
    }
  }
}

测试数据和结果：

POST /test_index/test_type/_bulk
{"index":{}}
{"a":"aa", "b":"bb", "c":"cc", "aggcount":10}
{"index":{}}
{"a":"aa", "b":"bb", "c":"cc", "aggcount":11}
{"index":{}}
{"a":"aa", "b":"b", "c":"c", "aggcount":1}
{"index":{}}
{"a":"a", "b":"bb", "c":"cc", "aggcount":12}
{"index":{}}
{"a":"a", "b":"bb", "c":"cc", "aggcount":5}

给出：

   "hits": {
      "total": 5,
      "max_score": 0,
      "hits": []
   },
   "aggregations": {
      "aggs_a": {
         "doc_count_error_upper_bound": 0,
         "sum_other_doc_count": 0,
         "buckets": [
            {
               "key": "aa",
               "doc_count": 3,
               "aggs_b": {
                  "doc_count_error_upper_bound": 0,
                  "sum_other_doc_count": 0,
                  "buckets": [
                     {
                        "key": "bb",
                        "doc_count": 2,
                        "aggs_c": {
                           "doc_count_error_upper_bound": 0,
                           "sum_other_doc_count": 0,
                           "buckets": [
                              {
                                 "key": "cc",
                                 "doc_count": 2,
                                 "summing": {
                                    "value": 21
                                 }
                              }
                           ]}},
                     {
                        "key": "b",
                        "doc_count": 1,
                        "aggs_c": {
                           "doc_count_error_upper_bound": 0,
                           "sum_other_doc_count": 0,
                           "buckets": [
                              {
                                 "key": "c",
                                 "doc_count": 1,
                                 "summing": {
                                    "value": 1
                                 }
                              }
                           ]}]}
            },
            {
               "key": "a",
               "doc_count": 2,
               "aggs_b": {
                  "doc_count_error_upper_bound": 0,
                  "sum_other_doc_count": 0,
                  "buckets": [
                     {
                        "key": "bb",
                        "doc_count": 2,
                        "aggs_c": {
                           "doc_count_error_upper_bound": 0,
                           "sum_other_doc_count": 0,
                           "buckets": [
                              {
                                 "key": "cc",
                                 "doc_count": 2,
                                 "summing": {
                                    "value": 17
                                 }
                              }
                           ]
}}]}}]}}}

多个字段上的弹性搜索聚合

1 个答案: