ELK 聚合查询

最新推荐文章于 2022-07-19 15:32:32 发布
最新推荐文章于 2022-07-19 15:32:32 发布
阅读量114 收藏
点赞数
文章标签: 运维 git 大数据
原文链接:http://www.cnblogs.com/hk315523748/p/6479842.html
版权

在elasticsearch中es支持对存储文档进行复杂的统计.简称聚合。

 

ES中的聚合被分为两大类。

    1、Metrics, Metrics 是简单的对过滤出来的数据集进行avg,max等操作,是一个单一的数值。

2、ucket, Bucket 你则可以理解为将过滤出来的数据集按条件分成多个小数据集,然后Metrics会分别作用在这些小数据集上。

聚合在ELK里面是一个非常重要的概念,虽然我们在ELK stack里面用于过多的去了解es的实现过程,但是简单的了解es的查询过程,可以有效的帮助我们快速的入门Kibana,通过kibana鼠标点击的方式生成聚合数据。

 

1、 git先下载数据导入:

git clone git@github.com:xiaoluoge11/longguo-devops.git

执行脚本:

 [root@controller longguo-devops]# ./car.sh

#备注:我们会建立一个也许对汽车交易商有所用处的聚合。数据是关于汽车交易的:汽车型号,制造商,销售价格,销售时间以及一些其他的相关数据

                               

 

 

Bucket:   

1、 按时间统计(可以是一个时间区间的柱形图date_histogram:kibana这样展示):

[root@controller .ssh]# curl -XGET '192.168.63.235:9200/cars/transactions/_search?pretty' -d '

{

    "aggs" : {

        "articles_over_time" : {

            "date_histogram" : {

                "field" : "sold",

                "interval": "month"   ##区间可以为:data.hour,munite,year等

             }

         }

    }

}'

返回结果:

"aggregations" : {

    "articles_over_time" : {

      "buckets" : [

        {

          "key_as_string" : "2014-01-01T00:00:00.000Z",

          "key" : 1388534400000,

          "doc_count" : 1

        },

        {

          "key_as_string" : "2014-02-01T00:00:00.000Z",

          "key" : 1391212800000,

          "doc_count" : 1

        },

#####也可以这样指定:

"field" : "sold",

"interval" : "mount",

"format" : "yyyy-MM-dd"  ###指定相应的时间格式

"offset":    "+6h"    ###区间间隔

####或者按照时间区间来查询:

"aggs": {

           "range": {

               "date_range": {

                   "field": "date",

                   "time_zone": "CET",

                   "ranges": [

                      { "to": "2016-02-15/d" },

                      { "from": "2016-02-15/d", "to" : "now/d" },

                      { "from": "now/d" },

 

2、 返回价格区间柱形图(Histogram Aggregation):

[root@controller .ssh]# curl -XGET '192.168.63.235:9200/cars/transactions/_search?pretty' -d '

{

    "aggs" : {

        "prices" : {

            "histogram" : {

                "field" : "price",

                "interval" : 5000

            }

        }

    }

}'

### Histogram做等间距划分,统计区间的price值,看他落在那个区间,数据间隔是5000:

返回结果:

"aggregations" : {

    "prices" : {

      "buckets" : [

        {

          "key" : 10000.0,

          "doc_count" : 2

        },

        {

          "key" : 15000.0,

          "doc_count" : 1

        },

 

3、 查看每种颜色的销量:

[root@controller .ssh]# curl -XGET '192.168.63.235:9200/cars/transactions/_search?pretty' -d '

{

    "aggs" : {

        "genres" : {

            "terms" : { "field" : "color" }

        }

    }

}'

 

###注意可能会报如下错:

"reason" : "Fielddata is disabled on text fields by default. Set fielddata=true on [color] in order to load fielddata in memory by uninverting the inverted index. Note that this can however use significant memory."

 

提示我们数据类型不对,我们修改一下mapping映射:

[root@controller .ssh]# curl -XPUT '192.168.63.235:9200/cars/_mapping/transactions' -d  ' 

> {

>   "properties": {

>     "color": {

>       "type": "text",

>       "fielddata": true

>      }

>    }

> }'

{"acknowledged":true}

 

再查下就会看到统计分布的结果:

      "buckets" : [

        {

          "key" : "red",

          "doc_count" : 4

        },

        {

          "key" : "blue",

          "doc_count" : 2

        },

        {

          "key" : "green",

          "doc_count" : 2

        }

 

4、 添加一个指标(Metric):

 

[root@controller .ssh]# curl -XGET '192.168.63.235:9200/cars/transactions/_search?pretty' -d '

{

    "aggs" : {

        "genres" : {

            "terms" : { "field" : "color" }

        ,

      "aggs": {

         "avg_price": {

            "avg": {

              "field": "price"

              }

            }

          }

       }

     }

}'

####avg可以换成max,min,sum等。用stats就表示所有。

 

5、  用stats找出Metric的所有值。

curl -XGET '192.168.63.235:9200/cars/transactions/_search?pretty' -d '

{

    "aggs" : {

        "genres" : {

            "terms" : { "field" : "color" }

        ,

      "aggs": {

         "avg_price": {

            "stats": {

              "field": "price"

              }

            }

          }

       }

     }

}'

 

####返回结果:

      "buckets" : [

        {

          "key" : "red",

          "doc_count" : 4,

          "avg_price" : {

            "count" : 4,

            "min" : 10000.0,

            "max" : 80000.0,

            "avg" : 32500.0,

            "sum" : 130000.0

          }

        }

本文内容出自:日志分析之 ELK stack 实战 课程学习笔记

转载于:https://www.cnblogs.com/hk315523748/p/6479842.html

adovosr4302
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【教你通透ELK】 聚合和分析
走向CTO的路上...
09-01 95
Elasticsearch可以使用聚合和分析功能来从存储在索引中的数据中提取有用的信息。聚合和分析的主要原理是将数据划分为不同的桶(buckets),并对每个桶中的数据执行一系列聚合操作。例如,可以使用Kibana来可视化聚合结果,或使用Elasticsearch的API查询聚合结果。每个桶中包含相似的数据,可以对每个桶进行聚合操作。可以使用Elasticsearch的内置聚合器或自定义聚合器执行聚合操作。以上是一个简单的Elasticsearch聚合和分析的示例实现,可根据实际需求进行修改和扩展。
elk聚合查询
a1148233614的博客
04-23 1126
聚合查询类型:metric(度量)聚合:度量类型聚合主要针对的number类型的数据,需要ES做比较多的计算工作bucketing(桶)聚合:划分不同的“桶”,将数据分配到不同的“桶”里。非常类似sql中的group语句的含义。text变量,String类型不能用来分组。!!!!!!!!!metric(度量)聚合:1.接口:/** * metric聚合查询 * @param...
[ELK实战] Elasticsearch 聚合查询二: Bucketing/桶聚合
OxYGC
07-19 1382
指标聚合有参数有聚合类型聚合参数简介Bucketing-范围聚合查询Bucketing-时间范围聚合查询Bucketing-分组统计Bucketing-直方图统计Bucketing-时间直方图统计。
elasticsearch聚合查询
紫一
06-27 1120
1,terms 分组,利用field分组 GET /tvs/sales/_search { "size": 0, "aggs": { "popular_colors&a
ELK与EFK1
08-08
Fluentd是一个开源数据收集器,设计目标是统一日志层,提供简单和高效的方式来收集、聚合和输出各种日志数据。与Logstash相比,Fluentd通常被认为更轻量级,且配置更为灵活。 **后台启动与管理** 在部署ELK或EFK时...
ELK使用简介
10-12
- **丰富的聚合操作**:支持多种聚合功能,帮助用户从不同维度分析数据。 - **图形化展示**:通过图表、地图等多种形式展示数据,使数据分析更加直观。 - **应用场景**:适用于日志分析、业务监控、安全分析等多个...
ELK全套安装包
12-13
在2.3.1版本中,它提供实时的全文检索、结构化搜索、聚合分析等功能,并且具有高可用性和可扩展性。Elasticsearch采用JSON文档型数据库,支持水平扩展,通过增加更多的节点来提升处理能力。 **Logstash** 是一个...
ELK工具全套安装包资源
最新发布
03-18
ELK中,Elasticsearch用于索引、搜索和聚合日志数据。 2. **Logstash**:Logstash是一款数据处理管道,它可以接收来自不同来源的数据(如系统日志、网络设备、应用程序等),然后通过各种插件进行过滤、转换,并...
ELK日志分析系统.pptx
01-04
ELK Stack 日志分析系统 ELK Stack 是一个开源的日志分析系统,由 Elasticsearch、Logstash 和 Kibana 三个组件组成。该系统能够实时地收集、存储和分析日志数据,并提供可视化的查询和分析功能。 ELK Stack 的...
[ELK实战] Elasticsearch 聚合查询一: Metric/指标聚合
OxYGC
07-19 803
指标聚合有参数有聚合类型聚合参数简介Metricmin最小值Metricmax最大值Metricavg平均值Metricsum求和Metricstats综合统计Metric统计某字段有值的文档数Metric-值去重计数Metric-高级统计,比stats多4个统计结果平方和、方差、标准差、平均值加/减两个标准差的区间。Metric-求文档集中的地理位置坐标点的范围Metric-求地理位置中心点坐标值Metric-占比百分位对应的值统计。......
ELK学习实践(八)--批量导入CSV文件及聚合查询
lordwish的专栏
08-26 1223
以项目中的问题跟踪记录为例进行导入分析,同时测试excel文档批量转换、CSV文件批量导入、过滤器数据转换及聚合查询。 1.Excel文件批量转换为CSV文件 少量的Excel文件可以手动另存为CSV文件,但是几十上百份的文件就有点费工夫了,还是需要一种批量转换的方式。 打开Excel,选择“文件>选项”,打开“Excel选项”窗口,选择“自定义功能区”,勾选“开发工具”。 在Excel主界面选择“开发工具>Visual Basic”。 双击“Microsoft Excel对象”中的She
ELK】(四)Elasticsearch 聚合查询与多维度数据统计
云祁QI
12-03 6173
文章目录搜索聚合高阶概念 搜索 即从一个索引下按照特定的字段或关键词搜索出符合用户预期的一个或者一堆cocument,然后根据文档的相关度得分,在返回的结果集里并根据得分对这些文档进行一定的排序。 聚合 根据业务需求,对文档中的某个或某几个字段进行数据的分组并做一些指标数据的统计分析,比如要计算一批文档中某个业务字段的总数,平均数,最大最小值等,都属于聚合的范畴。 以上两个概念后是理解下面实验的基...
elasticsearch 分组聚合查询
热门推荐
chenzhenguo
12-12 1万+
要求按照ip_peer 分组,并查询每个分组中 最小的开始时间和最大的结束时间, 每个分组 byte求和 {   "size": 0,   "aggs": {     "group_by_ip_peer": {       "terms": {         "field": "ip_peer",         "size": 1,         &quot
Elasticsearch聚合查询
静幽水
09-23 408
本文使用的elasticsearch为6.x版本,7.x版本不支持文档的类型type了。使用相对应版本的kibana进行对elasticsearch的操作。 创建索引: PUT /user2 { "settings": { "index": { "number_of_shards": "1", "number_of_repli...
ELK聚集查询之指标聚集和单通聚集(八)
nandao158的博客
10-13 1255
聚集查询(Aggregation)提供了针对多条文档的统计运算功能,它不是针对文 档本身内容的检索,而是要将它们聚合到一起运算某些方面的特征值。 聚集查询与 SQL 语言中的聚集函数非常像,聚集函数在 Elasticsearch 中相当 于是聚集查询的一种聚集类型。 比如在 SQL 中的 avg 函数用于求字段平均值, 而在 Elasticsearch 中要实现相同的功能可以使用 avg 聚集类型。 聚集查询也是通过_search 接口执行,只是在执行聚集查询时使用的参数是 aggr
elk之restful api 聚合查询分析
a1148233614的博客
04-24 1001
一,      group分组将所有学生按照年龄分组,并得出每个组合的个数。  GET school3/student2/_search { "size"=0, //加上size=0,就不会打印操作的具体数据 "aggs":{ "group_age":{ "terms": { ...
【从零使用ELK搭建日志系统】12:elasticsearch聚合去重查询
小龙哒的博客
12-29 1074
【从零使用ELK搭建日志系统】12:elasticsearch聚合去重查询
elk优化查询,使用更简单的查询语句具体操作
06-06
针对ELK优化查询,可以从以下几个方面入手: 1. 索引优化:优化索引可以提高查询性能。可以通过将常用的字段设置为索引字段,删除过期索引等方式进行优化。 2. 查询语句优化:使用更简单的查询语句可以提高查询性能。例如,使用bool查询可以将多个查询条件进行组合,并使用filter查询可以减少查询时间。 3. 聚合查询优化:聚合查询是比较耗时的操作,可以通过限制聚合查询的范围、使用缓存等方式进行优化。 以下是使用更简单的查询语句的具体操作: 1. 使用bool查询:将多个查询条件进行组合,可以使用must、should、must_not等关键字进行组合。例如: ``` GET /index/_search { "query": { "bool": { "must": [ {"match": {"field1": "value1"}}, {"match": {"field2": "value2"}} ], "should": [ {"match": {"field3": "value3"}} ], "must_not": [ {"match": {"field4": "value4"}} ] } } } ``` 2. 使用filter查询:使用filter查询可以减少查询时间,因为filter查询不计算相关度分数。例如: ``` GET /index/_search { "query": { "bool": { "filter": [ {"term": {"field1": "value1"}}, {"range": {"field2": {"gte": "2019-01-01"}}} ] } } } ``` 3. 使用聚合查询优化:可以使用缓存等方式进行聚合查询优化。例如: ``` GET /index/_search { "query": { "bool": { "filter": [ {"term": {"field1": "value1"}} ] } }, "aggs": { "agg1": { "terms": {"field": "field2"}, "aggs": { "agg2": { "avg": {"field": "field3"} } } } } } ``` 以上是使用更简单的查询语句的具体操作。希望能对您有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值