1. ホーム
  2. 質問と答え
  3. 凝集の弾性検索凝集

凝集の弾性検索凝集

2017-04-27 12 views
1

bucket_selectorに類似した方法があるかどうかを知りたいが、数値メトリックではなくキー一致に基づいてテストする。凝集の弾性検索凝集

データサンプル:

はもう少しコンテキストを与えるために、ここに私のユースケースである 

[ 
    { 
    "@version": "1", 
    "@timestamp": "2017-04-27T04:28:23.589Z", 
    "type": "json", 
    "headers": { 
     "message": { 
     "type": "requestactivation" 
     } 
    }, 
    "id": "668" 
    }, 
    { 
    "@version": "1", 
    "@timestamp": "2017-04-27T04:32:23.589Z", 
    "type": "json", 
    "headers": { 
     "message": { 
     "type": "requestactivation" 
     } 
    }, 
    "id": "669" 
    }, 
    { 
    "@version": "1", 
    "@timestamp": "2017-04-27T04:30:00.802Z", 
    "type": "json", 
    "headers": { 
     "message": { 
     "type": "activationrequested" 
     } 
    }, 
    "id": "668" 
    } 
]

私は最後のイベントは、タイプrequestactivationのあるすべてのIDを取得したいと思います。

{ 
    "size": 0, 
    "query": { 
    "bool": { 
     "filter": [ 
     { 
      "exists": { 
      "field": "id" 
      } 
     }, 
     { 
      "terms": { 
      "headers.message.type": [ 
       "requestactivation", 
       "activationrequested" 
      ] 
      } 
     } 
     ] 
    } 
    }, 
    "aggs": { 
    "id": { 
     "terms": { 
     "field": "id", 
     "size": 10000 
     }, 
     "aggs": { 
     "latest": { 
      "max": { 
      "field": "@timestamp" 
      } 
     }, 
     "hmtype": { 
      "terms": { 
      "field": "headers.message.type", 
      "size": 1 
      } 
     } 
     } 
    } 
    } 
}

は、私はすでにID、 あたりの最後のイベントの種類を取得する凝集を持っていますが、私はここでキー

に基づいてバケットをフィルタリングする方法を考え出したていないクエリです

すべてのマッピングが分析されない 
{ 
    "took": 5, 
    "timed_out": false, 
    "_shards": { 
    "total": 3, 
    "successful": 3, 
    "failed": 0 
    }, 
    "hits": { 
    "total": 3, 
    "max_score": 0, 
    "hits": [] 
    }, 
    "aggregations": { 
    "id": { 
     "doc_count_error_upper_bound": 3, 
     "sum_other_doc_count": 46, 
     "buckets": [ 
     { 
      "key": "986", 
      "doc_count": 4, 
      "hmtype": { 
      "doc_count_error_upper_bound": 0, 
      "sum_other_doc_count": 2, 
      "buckets": [ 
       { 
       "key": "activationrequested", 
       "doc_count": 2 
       } 
      ] 
      }, 
      "latest": { 
      "value": 1493238253603, 
      "value_as_string": "2017-04-26T20:24:13.603Z" 
      } 
     }, 
     { 
      "key": "967", 
      "doc_count": 2, 
      "hmtype": { 
      "doc_count_error_upper_bound": 0, 
      "sum_other_doc_count": 1, 
      "buckets": [ 
       { 
       "key": "requestactivation", 
       "doc_count": 1 
       } 
      ] 
      }, 
      "latest": { 
      "value": 1493191161242, 
      "value_as_string": "2017-04-26T07:19:21.242Z" 
      } 
     }, 
     { 
      "key": "554", 
      "doc_count": 7, 
      "hmtype": { 
      "doc_count_error_upper_bound": 0, 
      "sum_other_doc_count": 5, 
      "buckets": [ 
       { 
       "key": "requestactivation", 
       "doc_count": 5 
       } 
      ] 
      }, 
      "latest": { 
      "value": 1493200196871, 
      "value_as_string": "2017-04-26T09:49:56.871Z" 
      } 
     } 
     ] 
    } 
    } 
}

(キーワード):ここでは、結果のサンプルです。

目標は、バケットのキーが「リクエストアクティベーション」であるものだけに結果を減らすことです。

idにactivationrequestが複数回表示される可能性があるため、doc countは使用できません。

最近集計で掘り下げが始まったばかりなので、質問が明らかなようであれば謝罪し、周囲の例はこの特定のロジックと一致していないようです。およそincludeは値だけ、関連する要求のために用語に含まれる「フィルタ」にterms集約に使用方法

出典

2017-04-27 Olivier

答えて

1 

{ 
    "size": 0, 
    "query": { 
    "bool": { 
     "filter": [ 
     { 
      "exists": { 
      "field": "id" 
      } 
     }, 
     { 
      "terms": { 
      "headers.message.type": [ 
       "requestactivation", 
       "activationrequested" 
      ] 
      } 
     } 
     ] 
    } 
    }, 
    "aggs": { 
    "id": { 
     "terms": { 
     "field": "id", 
     "size": 10000 
     }, 
     "aggs": { 
     "latest": { 
      "max": { 
      "field": "@timestamp" 
      } 
     }, 
     "hmtype": { 
      "filter": { 
      "terms": { 
       "headers.message.type": [ 
       "requestactivation", 
       "activationrequested" 
       ] 
      } 
      }, 
      "aggs": { 
      "count_types": { 
       "cardinality": { 
       "field": "headers.message.type" 
       } 
      } 
      } 
     }, 
     "filter_buckets": { 
      "bucket_selector": { 
      "buckets_path": { 
       "totalTypes":"hmtype > count_types" 
      }, 
      "script": "params.totalTypes == 2" 
      } 
     } 
     } 
    } 
    } 
}

出典

2017-04-27 07:02:07

+0

私は何かが欠けているが、提案をテストするかもしれないが、私が終わる含まidが他のタイプのイベントを持っているかどうかにかかわらず、 "activationrequested"というイベントを持つすべてのidを(あなたの例では、私は実際に "requestactivation"を探しています)。 – Olivier

+0

私は悪いですが、それは '' include ''でなければなりません: "requestactivation" '...しかし、私は途中でいくつかの制限があると感じています。 –

+0

しかし、インクルードは基本的に、(私はクエリのヒット数を気にしないので)クエリでactivationRequestedイベント**を除外した場合と同じように動作します。一方、私は、アクティベーションが要求された** ids **を除外したいと思います。 – Olivier

関連する問題

 関連する問題