Elasticsearch的聚合

最新推荐文章于 2024-03-27 05:03:38 发布
最新推荐文章于 2024-03-27 05:03:38 发布
阅读量420 收藏
点赞数
分类专栏: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abreaking2012/article/details/100662767
版权

一些概念

如同sql里面的group by关键字,Elasticsearch(以下简称es)也是支持聚合、统计的。

es的聚合有两个比较重要的概念:

  • bucket :桶
  • Metrics :指标

Buckets

Buckets简单来说就是满足特定条件的文档的集合。

如同我们经常使用的sql中group by A,B,C…,每个A,B,C等这样的关键字都可以将其视为桶。因为数据库的表都是二维表的形式,es的Buckets并不支持多个字段,但是可以嵌套。这个后续会说到。

Metrics

Metrics 就是对Buckets里面的数据进行各种统计计算。

如同sql里面group by后,你可以使用关键字count、max、avg等来统计,计算最大、最小、平均值。es当然也都支持,而且还有一些更多的sao操作,后续说到。

基本聚合

说明:关于对es的交互,可以先去翻翻我之前写的博文。这里不再累述,仅会给出查询表达式。后续皆是。

aggs关键字

aggs关键字使用规则比较简单:给聚合取个名,指定要聚合的关键字。比如:

{
  "size": 0,
  "aggs": {
    "srvNameAgg": {
      "terms": {
        "field": "srvName"
      }
    }
  }
}

这个就表示对srvName字段进行聚合,“size”:0表示不需要hits的结果。结果如下:

{
  "took": 2,
  "timed_out": false,
  "_shards": {
    "total": 5,
    "successful": 5,
    "skipped": 0,
    "failed": 0
  },
  "hits": {
    "total": 10000,
    "max_score": 0,
    "hits": []
  },
  "aggregations": {
    "srvNameAgg": {
      "doc_count_error_upper_bound": 81,
      "sum_other_doc_count": 5633,
      "buckets": [
        {
          "key": "sDynSvc",
          "doc_count": 1514
        },
        {
          "key": "sAppQry",
          "doc_count": 518
        },
        ...

聚合的结果是在aggregations.你的聚合名.buckets里面。也可以看到。

嵌套聚合

正如之前所说的。es的聚合并支持多个字段的聚合,也就是说,你不能在一个aggs下多个字段聚合。
BUT,这个问题可以通过别的script方式实现,但是需要改下es原有的配置,有兴趣可以看看这个:https://www.elastic.co/guide/en/elasticsearch/reference/6.3/search-aggregations-metrics-scripted-metric-aggregation.html

其实,我们通过sql group by出来的结果,比如这种,聚合出来的二维表,
https://blog.abreaking.com/upload/2019/09/vftklp9uk0gujqv8f8g7c0qna8.jpg
我们同样可以通过Json节点的形式来进行描述:

{
  "DMDB":{
    "DRS":{
      "DMDB.DRS.DrSendType":"",
      "DMDB.DRS.ProcessExists":"",
    },
    "DRS.B":{
      "DMDB.DRS.B.DrSendType":"",
      "DMDB.DRS.B.ProcessExists":""
    },
    ...
  },
  "HBase":{
    "HMaster":{
      "Hadoop.HBase.HMaster.HaStatus":"",
      "Hadoop.HBase.HMaster.ProcessExists":""
    },
    "HRegionServer":{
      "Hadoop.HBase.HRegionServer.Blocked":"",
      "Hadoop.HBase.HRegionServer.ProcessExists":""
    }
    ...
  },
  "HDFS":{
    "DataNode":{
      "Hadoop.HDFS.DataNode.ProcessExists":""
    },
    "NameNode":{
      "Hadoop.HDFS.NameNode.HaStatus":"",
      "Hadoop.HDFS.NameNode.ProcessExists":""
    }
    ...
  },
  "YARN":{
    ...
  }
}

所以,针对这种多聚合,我们直接嵌套桶(buket)的方式。

{
  "size": 0,
  "aggs": {
    "srvNameAgg": {
      "terms": {
        "field": "srvName"
      },
      "aggs":{
        "retCodeAgg":{
          "terms":{
            "field":"retCode"
          },
          "aggs":{
            "retMsgAgg": {
              "terms": {
                "field": "retMsg"
              }
            }
          }
        }
      }
    }
  }
}

返回结果形如:

{
  ...,
  "aggregations": {
    "srvNameAgg": {
      "doc_count_error_upper_bound": 81,
      "sum_other_doc_count": 5633,
      "buckets": [
        {
          "key": "sPFeeQuery",
          "doc_count": 497,
          "retCodeAgg": {
            "doc_count_error_upper_bound": 0,
            "sum_other_doc_count": 0,
            "buckets": [
              {
                "key": "0",
                "doc_count": 465,
                "retMsgAgg": {
                  "doc_count_error_upper_bound": 0,
                  "sum_other_doc_count": 0,
                  "buckets": [
                    {
                      "key": "ok!",
                      "doc_count": 465
                    }
                  ]
                }
              },
              {
                "key": "422001001",
                "doc_count": 32,
                "retMsgAgg": {
                  "doc_count_error_upper_bound": 0,
                  "sum_other_doc_count": 22,
                  "buckets": [
                    {
                      "key": "用户不存在 ERRID:10901775",
                      "doc_count": 1
                    },
                    {
                      "key": "用户不存在 ERRID:13251308",
                      "doc_count": 1
                    }
                  ]
                }
              }
            ]
          }
        },
        {
          "key": "sUserOrdQry",
          "doc_count": 360,
          "retCodeAgg": {
          ...

Tips:重点观察下buckets下面的key及doc_count

需要注意的是,经过本人的测试,聚合嵌套的越多效率也就越地低。尤其是某一层的桶可能返回数据特别多(比如后续说到的对时间粒度的聚合),聚合效率更是尤为低下。

聚合指标

从上面可以看出,es默认是返回了统计的结果,也就是类似数据库的count(*)的结果。它同样也是能支持avg、min、max等计算。

比如:求esb里面服务的平均执行时间:

{
  "size":0,
  "aggs":{
    "srv_aggs":{
      "terms":{
        "field":"srvName"

      },
      "aggs":{
        "avg_executeTime":{
          "avg":{
            "field":"executeTime"
          }
        }
      }
    }
  }
}

结果如下:

"took": 15,
   "timed_out": false,
   "_shards":    {...},
   "hits":    {...},
   "aggregations": {"srv_aggs":    {
      "doc_count_error_upper_bound": 49,
      "sum_other_doc_count": 2607,
      "buckets":       [
                   {
            "key": "sAppQry",
            "doc_count": 2440,
            "avg_executeTime": {"value": 107.825}
         },
                  {
            "key": "sPFeeQuery",
            "doc_count": 1483,
            "avg_executeTime": {"value": 219.701955495617}
         },
                  {
            "key": "sUserOrdQry",
            "doc_count": 1427,
            "avg_executeTime": {"value": 91.43587946741415}
         },
                  {
            "key": "sQryCreditInfo",
            "doc_count": 444,
            "avg_executeTime": {"value": 59.240990990990994}
         },
         ...

The end

聚合是比较费时间的。普通的查询,如term、match,都是通过倒排索引来匹配,其时间复杂度基本上可以视为o(1)。而聚合是会遍历所有的数据,时间复杂度则是o(n),随着多层的嵌套,其时间复杂度线性增长。

所以,最好不要对大量的数据进行聚合,尤其不要嵌套聚合。应该在聚合之前对这大量的数据先过滤,筛选出有意义的数据再进行聚合。

关于过滤+聚合可以参考后续博文。

Reference

官方文档—Aggregations:https://www.elastic.co/guide/en/elasticsearch/guide/current/aggregations.html

abreaking2012
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
elasticsearch多级聚合查询
zhaojianting的博客
10-10 2万+
欢迎关注鄙人的公众号号,技术干货随时看! **鄙人的新书《elasticsearch7完全开发指南》,欢迎订阅!** ----- https://wenku.baidu.com/view/8ff2ce94591b6bd97f192279168884868762b8e7 **《kibana权威指南》** ---- https://wenku.baidu.com/view/24cfee1...
ElassticSearch对字段截取后再聚合
学无止境,永不停歇
10-23 2074
环境:ElasticSearch6.7 需求:利用ElasticSearch某个字段值的前几位进行聚合 Restful查询语句: GET /ads_lading_trade_brief_es/_search { "size": 0, "query": { "bool": { "must": [ { "match": { "country": "US" } } ] }
Elasticsearch 之(26)聚合数据分析_易并行聚合算法,三角选择原则,近似聚合算法...
weixin_30906185的博客
05-28 155
1、易并行聚合算法有些聚合分析的算法,是很容易就可以并行的,比如说max有些聚合分析的算法,是不好并行的,比如说,count(distinct),并不是说,在每个node上,直接就出一些distinct value,就可以的,因为数据可能会很多es会采取近似聚合的方式,就是采用在每个node上进行近估计的方式,得到最终的结论,cuont(distcint),100...
Elasticsearch对于大数据量(上亿量级)的聚合如何实现?
qq_33240556的博客
02-02 484
Elasticsearch 在处理大数据量(上亿级别)的聚合时,由于其分布式架构和内存优化的设计,能够有效地进行大规模数据处理。总之,应对大数据量的聚合需求,需结合合理的系统设计、有效的资源配置以及针对性的查询优化策略,才能确保Elasticsearch在海量数据下仍能高效地执行聚合任务。
Elasticsearch 对于大数据量(上亿量级)的聚合如何实现?
m0_67403076的博客
03-25 2041
Elasticsearch 提供的首个近似聚合是 cardinality 度量。它提供一个字段的基数,即该字段的 distinct 或者unique 值的数目。它是基于 HLL 算法的。HLL 会先对我们的输入作哈希运算,然后根据哈希运算的结果中的 bits 做概率估算从而得到基数。其特点是:可配置的精度,用来控制内存的使用(更精确 = 更多内存);小的数据集精度是非常高的;我们可以通过配置参数,来设置去重需要的固定内存使用量。无论数千还是数十亿的唯一值,内存使用量只与你配置的精确度相关。 ...
elasticsearch聚合后分页
12-16
方法如果传总页数了,es就不用查询总页数,直接通过开始位置到结束位置取数即可
Elasticsearch聚合 之 Terms
06-19
Elasticsearch聚合之Terms Elasticsearch中的Terms聚合是一种常用的聚合方式,用于对文档中的某个字段进行分组统计。Terms聚合可以对文档中的某个字段进行分组,并统计每个组中的文档数量。 在Elasticsearch中,...
elasticsearch聚合值过滤
03-02
而“elasticsearch聚合值过滤”是ES聚合功能的一个高级应用场景,它允许我们根据聚合计算出的结果来进一步筛选文档,即在聚合后的基础上进行过滤操作。这一特性在数据分析和报表生成时非常有用,能够帮助我们得到更...
java使用elasticsearch分组进行聚合查询过程解析
08-25
Java 使用 Elasticsearch 进行分组聚合查询过程解析 Java 使用 Elasticsearch 进行分组聚合查询是一个常见的需求,特别是在大数据处理和数据分析领域。Elasticsearch 提供了强大的聚合功能,可以对数据进行分组、...
elasticsearch聚合.yaml
03-19
elasticsearch聚合
挖掘ElasticSearch聚合分析的宝藏:多维度洞察与复杂计算
silenceallat的博客
03-27 1046
本文深入探讨了ElasticSearch聚合分析功能,展示了如何利用桶聚合、指标聚合和管道聚合进行多维度分析和复杂计算。通过实际案例,我们了解了如何按时间、商品类别分组,计算销售趋势、平均销售价格和销售增长率。同时,我们还掌握了使用脚本聚合进行折扣后销售额计算和促销活动效果分析的技巧。这些进阶应用将帮助读者更好地理解和运用ElasticSearch聚合分析能力,提升数据处理和业务决策的效率。
Elasticsearch学习-- 聚合查询
CelineT的博客
09-03 3002
missing:对空值赋默认值(设置成500,上图中表示,将price缺失的数据的price设置成500)min_doc_count:设置成1,表示输出结果doc_value大于等于1的数据(过滤0)因为聚合查询使用的是doc_values的正排索引,tags.keyword有正排索引。2)对分桶后的tags取平均price(在哪个的基础上进行操作,就放在同一级)1)查询price>4000的平均price和所有商品的平均price。doc_vaules是基于磁盘的,filed_data是基于内存的。
ES复杂分组同时多聚合统计实现(java)
热门推荐
zwrlj527的专栏
01-07 1万+
前言 本来计划上一篇是最近的最后一篇,然后,这周手上还分的一点活,按照计划处理完成了,这会顺便跟大家分享下。 内容是java端操作ES做分组、聚合统计。 一、需求场景 其实需求也不复杂,就是一个红外感应的物联网设备进出都有统计上报流水,然后客户提出需要对这些数据进行统计,计算客流数量,进行展示。 二、需求分析 经过沟通确认,这个需求可以沉淀升级为一个通用的流水分组聚合统计接口。拆解结果,接口具体要求: 1、区分项目 2、租户下设备 (分组) 3、设备属性(分组) 4、统计类型 (平均值、求数目、求和)
Elasticsearch实战(十九)---ES聚合算法易并行聚合算法及近似聚合算法及三角选择原则
流浪的喵的博客
07-31 3857
ES聚合算法易并行聚合算法及近似聚合算法及三角选择原则,根据场景去选择自己的实现方式
elastic search中易并行聚合算法,三角选择原则,近似聚合算法浅析
坤健的博客
07-27 620
1、有些聚合分析的算法,是很容易就可以并行的,比如说max 有些聚合分析的算法,是不好并行的,比如说,count(distinct),并不是说,在每个node上,直接就出一些distinct value,就可以的,因为数据可能会很多 es会采取近似聚合的方式,就是采用在每个node上进行近估计的方式,得到最终的结论,cuont(distcint),可能会有5%左右的错误率,近似估计后的结果,不...
ElasticSearch聚合使用实战
StudingStudent的博客
09-07 447
ElasticSearch聚合 数据生成 新建索引 PUT employee { "mappings": { "properties": { "id": { "type": "integer" }, "name": { "type": "keyword" }, "job": { "type": "keyword" }, "age": { "typ
ElasticSearch 高级查询语法Query DSL 2
星空下的博客
07-04 667
Elasticsearch除搜索以外,提供了针对ES 数据进行统计分析的功能。聚合(aggregations)可以让我们极其方便的实现对数据的统计、分析、运算。例如: 聚合的分类 Metric Aggregation:—些数学运算,可以对文档字段进行统计分析,类比Mysql中的 min(), max(), sum() 操作。 Bucket Aggregation: 一些满足特定条件的文档的集合放置到一个桶里,每一个桶关联一个key,类比Mysql中的group by操作。 Pipeline A
es-聚合性能优化
langsiming的博客
01-09 3489
优化方案: 启用 eager global ordinals 提升高基数聚合性能 应用场景: ● 基于 keyword,ip 等字段的分桶聚合,包含:terms聚合、composite 聚合等。 ● 基于text 字段的分桶聚合(前提条件是:fielddata 开启)。 ● 基于父子文档 Join 类型的 has_child 查询和 父聚合。 global ordinals 使用一个数值代表字段中的字符串值,然后为每一个数值分配一个 bucket(分桶) 插入数据时对索引进行预排序 ● ndex sort
elastic search 聚合
最新发布
06-30
Elasticsearch聚合功能是其强大的查询和分析能力的重要组成部分。它允许你在搜索结果中对数据进行复杂的数据汇总、分组和计算,从而得到更深入的洞察。Elasticsearch 提供了多种聚合类型,包括但不限于: 1. **...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值