Elasticsearch实战 复合聚合查询排序统计

最新推荐文章于 2023-06-15 14:10:43 发布
最新推荐文章于 2023-06-15 14:10:43 发布
阅读量886 收藏
点赞数
分类专栏: Elasticsearch 文章标签: elasticsearch 大数据 搜索引擎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fajingfajing/article/details/129127085
版权

整体查询条件

{
    "size": 0,
    "query": {
        "bool": {
            "must": [
                {
                    "range": {
                        "attack_time": {
                            "from": "2023-02-07 15:00:00",
                            "to": "2023-02-07 16:00:03",
                            "include_lower": true,
                            "include_upper": true,
                            "boost": 1
                        }
                    }
                },
                {
                    "terms": {
                        "alarm_project_id": [
                            1,
                            5
                        ],
                        "boost": 1
                    }
                }
            ],
            "adjust_pure_negative": true,
            "boost": 1
        }
    },
    "aggregations": {
        "agg_composite_project_ip": {
            "composite": {
                "size": 10000000,
                "sources": [
                    {
                        "ip": {
                            "terms": {
                                "field": "ip",
                                "missing_bucket": false,
                                "order": "asc"
                            }
                        }
                    },
                    {
                        "project_id": {
                            "terms": {
                                "field": "alarm_project_id",
                                "missing_bucket": false,
                                "order": "asc"
                            }
                        }
                    }
                ]
            },
            "aggregations": {
                "agg_max_time": {
                    "max": {
                        "field": "attack_time"
                    }
                },
                "agg_max_threat_level": {
                    "max": {
                        "field": "alarm_project_threat_level"
                    }
                },
                "agg_bucket_sort_page": {
                    "bucket_sort": {
                        "sort": [
                            {
                                "agg_max_time": {
                                    "order": "desc"
                                }
                            }
                        ],
                        "from": 0,
                        "size": 10,
                        "gap_policy": "SKIP"
                    }
                }
            }
        },
        "agg_cardinality_project_ip": {
            "cardinality": {
                "script": {
                    "source": "doc['alarm_project_id'].value + doc['ip'].value",
                    "lang": "painless"
                }
            }
        }
    }
}

核心功能Java代码

分页排序

        List<FieldSortBuilder> sorts = new ArrayList<>();
        FieldSortBuilder fieldSort = null;
        Boolean threatLevelSortDesc = alarmDataSearchReq.getThreatLevelSortDesc();
        if (threatLevelSortDesc != null) {
            fieldSort = new FieldSortBuilder("agg_max_threat_level");
            fieldSort.order(threatLevelSortDesc ? SortOrder.DESC : SortOrder.ASC);
        } else {
            fieldSort = new FieldSortBuilder("agg_max_time");
            Boolean timeSortDesc = alarmDataSearchReq.getTimeSortDesc();
            if (timeSortDesc == null || timeSortDesc) {
                fieldSort.order(SortOrder.DESC);
            } else {
                fieldSort.order(SortOrder.ASC);
            }
        }
        sorts.add(fieldSort);

        Integer size = pageReq.getPageSize();
        Integer from = (pageReq.getPage() - 1) * size;
        CompositeAggregationBuilder compositeAggregationBuilder = buildProjectIpCompositeAggregation();
        compositeAggregationBuilder
                .subAggregation(AggregationBuilders.max("agg_max_threat_level")
                        .field(FILED_PROJECT_THREAT_LEVEL))
                .subAggregation(PipelineAggregatorBuilders
                        .bucketSort("agg_bucket_sort_page", sorts).from(from).size(size));

复合聚合

        List<CompositeValuesSourceBuilder<?>> listValuesSource = new ArrayList<>();
        TermsValuesSourceBuilder valuesSourceIp = new TermsValuesSourceBuilder("ip");
        valuesSourceIp.field("ip");
        listValuesSource.add(valuesSourceIp);
        TermsValuesSourceBuilder valuesSourceProject = new TermsValuesSourceBuilder("project_id");
        valuesSourceProject.field(FILED_PROJECT_ID);
        listValuesSource.add(valuesSourceProject);

        CompositeAggregationBuilder compositeAggregationBuilder = AggregationBuilders.composite(
                "agg_composite_project_ip", listValuesSource);
        compositeAggregationBuilder.size(10000000).subAggregation(AggregationBuilders
                .max("agg_max_time").field("attack_time"));

聚合数据查询

List<AlarmDataProjectIpDTO> list = new ArrayList<>();
        ParsedComposite parsedComposite = search.getAggregations().get("agg_composite_project_ip");
        List<ParsedComposite.ParsedBucket> buckets = parsedComposite.getBuckets();
        for (ParsedComposite.ParsedBucket bucket : buckets) {
            AlarmDataProjectIpDTO alarmDataProjectIpDTO = new AlarmDataProjectIpDTO();

            Map<String, Object> key = bucket.getKey();
            alarmDataProjectIpDTO.setIp(key.get("ip").toString());
            alarmDataProjectIpDTO.setProjectId((Integer) key.get("project_id"));

            String maxAttackTime = ((Max) bucket.getAggregations()
                    .get("agg_max_time")).getValueAsString();
            alarmDataProjectIpDTO.setTime(maxAttackTime);

            alarmDataProjectIpDTO.setCount(bucket.getDocCount());

            list.add(alarmDataProjectIpDTO);
        }

聚合统计查询

ParsedCardinality parsedCardinality = search.getAggregations().get("agg_cardinality_project_ip");
不止步的兔子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Elasticsearch实现复合查询高亮结果功能
10-16
主要介绍了Elasticsearch实现复合查询,高亮结果功能,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Elasticsearch实战与原理解析 源代码.zip
06-06
Elasticsearch实战与原理解析 源代码
ElasticSearch聚合查询(composite)
Yong Ledo的博客
06-10 1823
此文转载自:https://blog.csdn.net/qq_18895659/article/details/86540548 简介composite composite是一个多桶聚合,它从不同的源创建复合桶,与其他多桶聚合不同,复合聚合可用于高效地对多级聚合中的所有桶进行分页。这种聚合提供了一种方法来流特定聚合的所有桶,类似于滚动对文档所做的操作。 组合桶是由为每个文档提取/创建的值的组合构建的,每个组合被视为组合桶。如下为官方给的例子: { "keyword": ["foo", "bar"],
java使用elasticsearch分组进行聚合查询过程解析
08-25
主要介绍了java使用elasticsearch分组进行聚合查询过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
ELK系列——terms分组后的结果数据再分组(七)
qq_40384985的博客
12-11 2216
前言:最近遇到了一些需求,需要统计分组后的结果数据再分组的数据,查遍资料绞尽脑汁的想解决方案。可也没有一个很好地解决方案,但最后也还是找到一个不算太好但能解决问题的办法。分享给大家。 需求背景:有一批设备可以播放广告,es存了设备的播放记录,播一次一条记录。 大概需求是这样: 1,统计每个设备播了多少次。(这个so easy啦,直接terms分组不就可以啦,但是有个问题,es默认terms的...
【ES】常用JavaApi写法以及对比Mysql语句
winrh的博客
11-04 805
【代码】【ES】常用JavaApi写法以及对比Mysql语句。
一次ES多字段分组分页的设计与开发
qq_41935885的博客
06-15 695
ES多字段分组分页解决方案
ElasticSearch中composite聚合的使用
陈洪杰的博客
01-18 1万+
简介composite composite是一个多桶聚合,它从不同的源创建复合桶,与其他多桶聚合不同,复合聚合可用于高效地对多级聚合中的所有桶进行分页。这种聚合提供了一种方法来流特定聚合的所有桶,类似于滚动对文档所做的操作。 组合桶是由为每个文档提取/创建的值的组合构建的,每个组合被视为组合桶。如下为官方给的例子: { "keyword": ["foo...
Elasticsearch聚合分页,滚动聚合
qq_45497146的博客
02-02 895
​ 目前Elasticsearch支持聚合分页(滚动聚合)的目前只有复合聚合(Composite Aggregation)一种。滚动的方式类似于SearchAfter。或者说页面上的“加载更多”;为复合聚合添加聚合的参数为sources默认按自然顺序的升序排序(asc)
Elasticsearch 组合聚集(Composite aggregation)实现交叉分析
neweastsun的专栏
08-25 5672
Elasticsearch 组合聚集(Composite aggregation)实现交叉分析 实际分析应用中经常遇到需要交叉表的情况,它能够从不同维度组合分析业务。关系型数据库一般通过 group by 或 Pivot实现,很幸运,Elasticsearch也有类似功能。本文带你了解强大的组合分析,其中示例大多数来自官网。 1. 认识组合聚集 组合聚集(Composite aggregation) —— 从不同来源创建组合分组,属于多组聚集分析。与其他的多组聚集分析不同,它可以实现多聚集结果进行分页,其提
es实现多字段聚合后再分页-附JAVA工具类
u011250186的博客
07-26 2729
es实现多字段聚合后再分页-附JAVA工具类
Elasticsearch简介及SpringBoot整合ES实例
m0_67401761的博客
08-16 276
Elasticsearch 是一个开源的搜索引擎。建立在全文搜索引擎库 Apache Lucene 基础之上。它的内部使用 Lucene 做索引与搜索,但是它的目的是使全文检索变得简单,通过隐藏 Lucene 的复杂性,取而代之的提供一套简单一致的 RESTful API。Elasticsearch 不仅仅只是一个全文搜索引擎。它可以被下面这样准确的形容:、一个分布式的实时文档存储,每个字段可以被索引与搜索——作数据库用一个分布式实时分析搜索引擎,能胜任上百个服务节点的扩展,并支持PB 级别的。...
Elasticsearch高级聚合查询
最新发布
09-22
代码示例
Elasticsearch聚合分析实战(2)
01-07
Elasticsearch聚合分析实战(2) 本文在前文基础上进一步通过学习度量分析和分组分析。示例数据可以点击这里下载。 环境准备 系统中提供1000条employee数据,读者可以通过POST /employees/_bulk命令批量插入至elastic...
Antlr4简易快速入门
JacksonKing的专栏
04-08 2436
Antlr4简易快速入门 1. 简介 Antlr (ANother Tool for Language Recognition) 是一个强大的跨语言语法解析器,可以用来读取、处理、执行或翻译结构化文本或二进制文件。它被广泛用来构建语言,工具和框架。Antlr可以从语法上来生成一个可以构建和遍历解析树的解析器。 2. 谁在使用 Hive Spark Oracle Presto Elasticsearch 3. 常见的语法分析器 Antlr Javacc SqlParser (位于Alib
es查询语法
m0_69798017的博客
03-03 431
es各种查询方式汇总
ElasticSearch实现GroupBy多字段分组统计
学如逆水行舟,不进则退!
08-31 3391
Es多字段分组,最佳尝试
es 聚合查询,cardinality 去重
talen_hx的博客
05-12 1101
SearchRequest searchRequest = new SearchRequest("order"); SearchSourceBuilder searchSourceBuilder = new SearchSourceBuilder(); BoolQueryBuilder boolQueryBuilder = new BoolQueryBuilder(); boolQueryBuilder.must(QueryBuilders.matchQuery("userCode", userCode).
ElasticSearch(七)高级排序(多级排序, 多值字段排序)
热门推荐
weixin_38399962的博客
08-17 2万+
排序 为了按照相关性来排序,需要将相关性表示为一个数值。在 Elasticsearch 中,相关性得分(_score)由一个浮点数进行表示,并在搜索结果中通过_score参数返回, 默认排序是_score降序。注: filter不参与评分. 1. 按照字段排序(评分机制取消) 只有字段排序会使评分机制取消. GET /_search { "query" : { "bool" : { "filter" : { "term" : { "use...
es 排序 聚合统计_elasticsearch聚合统计出现次数
05-13
Elasticsearch 中,可以使用聚合(Aggregation)实现对文档进行聚合统计,其中包括出现次数的统计。下面是一个示例: 假设我们有一个名为 "sales" 的索引,包含以下文档: ``` { "product": "A", "price": 10.0, "timestamp": "2021-08-01T10:00:00Z" } { "product": "B", "price": 15.0, "timestamp": "2021-08-01T10:05:00Z" } { "product": "A", "price": 12.0, "timestamp": "2021-08-01T10:10:00Z" } { "product": "C", "price": 20.0, "timestamp": "2021-08-01T10:15:00Z" } { "product": "A", "price": 8.0, "timestamp": "2021-08-01T10:20:00Z" } { "product": "B", "price": 18.0, "timestamp": "2021-08-01T10:25:00Z" } ``` 现在,我们想要统计每个产品出现的次数,可以使用以下聚合查询: ``` { "aggs": { "products": { "terms": { "field": "product" } } } } ``` 其中,"aggs" 是聚合查询的关键字,"products" 是我们给这个聚合起的名字,"terms" 表示我们要按照某个字段进行分组,"field" 指定了我们要按照哪个字段进行分组。 运行上述查询后,得到的结果如下: ``` { "aggregations": { "products": { "buckets": [ { "key": "A", "doc_count": 3 }, { "key": "B", "doc_count": 2 }, { "key": "C", "doc_count": 1 } ] } } } ``` 其中,"key" 表示产品名称,"doc_count" 表示该产品出现的次数。 如果想要对出现次数进行排序,可以使用以下聚合查询: ``` { "aggs": { "products": { "terms": { "field": "product", "order": { "_count": "desc" } } } } } ``` 其中,"order" 表示按照什么字段进行排序,"_count" 表示按照出现次数进行排序,"desc" 表示降序排列。 运行上述查询后,得到的结果如下: ``` { "aggregations": { "products": { "buckets": [ { "key": "A", "doc_count": 3 }, { "key": "B", "doc_count": 2 }, { "key": "C", "doc_count": 1 } ] } } } ``` 其中,产品 A 出现的次数最多,排在第一位。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值