Elasticsearch术语聚合和带时间戳的范围

作者: 不丶离
发布时间: 2024-01-03 08:13:17 (5月前)
转自：

5 条回复

0#
回复此人
丫头 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 您的语法在范围查询中略有错误。它应该是 <code> now-15m/m </code> 代替 <code> now-15m </code> </p> </DIV>

编辑
1#
回复此人
真不错 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 您可以通过两种方式实现此目的，以实现用户代理的聚合结果。 </p> <pre> <code> POST phrase_index/_search { "aggs": { "date_range_filtered_agg": { "filter": { "range": { "timestamp": { "gte": "now-15m/m" } } }, "aggs": { "group_by_userAgent": { "terms": { "field": "req.headers.user-agent.keyword", "size": 10 } } } } }, "size": 30, "stored_fields": ["req.headers.user-agent.keyword"] } POST phrase_index/_search { "query": { "range": { "timestamp": { "gte": "now-15m/m" } } }, "aggs": { "group_by_userAgent": { "terms": { "field": "req.headers.user-agent.keyword", "size": 10 } } }, "size": 30, "stored_fields": ["req.headers.user-agent.keyword"] } </code> </pre> </DIV>

编辑
2#
回复此人
电动少女 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 您首先需要过滤器聚合以应用范围查询，然后添加术语子聚合。 </p> <P> 看到： <a href="https://www.elastic.co/guide/en/elasticsearch/reference/current/search-aggregations-bucket-filter-aggregation.html" rel="nofollow noreferrer"> https://www.elastic.co/guide/en/elasticsearch/reference/current/search-aggregations-bucket-filter-aggregation.html </A> </p> </DIV>

编辑
3#
回复此人
猫南北 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 该 <code> range </code> 应该进入查询部分，而不是aggs。时间范围很好 </p> <P> 我认为你要找的是前30个用户代理存储桶中的文档数量，即产生最多日志的前30个用户代理 </p> <pre> <code> GET /myindex/_search { "size": 0, "query": { "range": { "@timestamp": { "gt": "now-15m" } } }, "aggs": { "group_by_userAgent": { "terms": { "field": "req.headers.user-agent.keyword", "size": 30 } } } } </code> </pre> </DIV>

编辑

登录后才能参与评论