译文:我们如何使 Elasticsearch 7.11 中的 date_histogram 聚合比以往更快

最新推荐文章于 2025-02-05 13:51:25 发布
原创 最新推荐文章于 2025-02-05 13:51:25 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch #大数据

本文介绍了Elasticsearch7.11版本中对date_histogram聚合性能改进的过程,包括手动进行舍入优化、停止舍入、范围聚合应用以及未来可能的更多聚合优化策略。

这篇文章是ES7.11版本的文章,主要学习的是思路,记录在这里留作以后参考用。

原文地址:https://www.elastic.co/cn/blog/how-we-made-date-histogram-aggregations-faster-than-ever-in-elasticsearch-7-11

正文开始:

Elasticsearch 的 date_histogram 聚合是 Kibana 的 DiscoverLogs Monitoring UI 的基石。我经常使用它来调查构建失败的趋势,但当它运行缓慢时,我会感到不高兴。用了整整四秒钟才绘制出过去六个月某个测试的所有失败情况!我可没有那么多时间!谁能把我的四秒钟还给我?所以在过去的六个月里,我一直在努力提升它的性能。断断续续地。

手动进行舍入

在很久之前(2018年),有一个 bug,名为“time_zone 选项会使 date_histogram 聚合变得慢”。那些涉及夏令时转换的时区会慢四倍。@jpountz 通过在不包含夏令时转换的分片上解释时间并忽略夏令时来修复了它。这很好,因为没有夏令时转换的时区很容易处理!你只需从 UTC 减去它们的偏移量,四舍五入,再加上偏移量,然后进行聚合。嗯,你不亲自操作,是 CPU 来执行的,但问题或情况仍会存在,你能理解吧。

所以 date_histogram 聚合速度很快。但每隔六个月它就会变慢!通常在索引中有大约一天的数据是相当常见的。如果你必须在带有夏令时转换的索引之一上运行 date_histogram,速度会很慢。在我知道这个问题之时,日期舍入本身比具有夏令时转换的分片要慢大约1400%。

原来,我们使用的是 java.util.time APIs,它们非常可爱、精确,并涵盖了所有内容,但它们会分配对象。而你确实希望避免为聚合中的每个数值创建新对象。所以我们摘下了手套,为自己实现了一套特定于日期舍入方式的夏令时转换代码。现在,我们不再分配对象,而是可以构建一个包含分片可见的所有夏令时转换的数组,然后进行二进制搜索。这很快!即使分片有成千上万个转换。对数时间真是一件美妙的事情。

停止舍入

但是,如果你要在分片上预先计算所有数据的夏令时转换,为什么不预先计算所有的“舍入点”呢?也就是 date_histogram 可能生成的每个存储桶的所有键。在我们实现“去除限制”的舍入 API 时,我们进行了所有工作,将索引中的最小日期和最大日期流式传输到所有正确的位置,因此你可以从最小日期开始,然后获取下一个舍入值,直到超出最大日期,将其添加到一个数组中并进行二进制搜索。然后你根本不需要再调用日期舍入代码。这种方法总是更快的。嗯,几乎总是。只有当你有很长时间范围内的一小组文档时,才不适用。但即使在这种情况下,它也很快。再次强调,对数时间是一种奇妙的东西。

开始过滤

稍微偏题一下:@polyfractal 提出了一个想法,通过查看搜索索引而不是文档值,可以加速范围聚合。这显示出了相当引人注目的速度提升,但我们不想合并这个原型,因为维护成本较高,而且人们并不经常使用范围聚合。

但我们意识到,如果你已经预先计算了 date_histogram 的所有“舍入点”,你可以将其转换为范围聚合。如果你像 @polyfractal 的原型一样,为该范围聚合使用搜索索引,你将获得8倍的速度提升。现在,正在维护范围聚合的优化,因为它正在为日期直方图聚合提供优化支持。

这是我们第一次将一个聚合转换为另一个聚合,以更高效地执行它。实际上,我们执行了两次。我们将 date_histogram 转换为范围聚合,然后将范围聚合转换为过滤聚合。过滤聚合从来没有非常快。因此,我们为其编写了“按过滤器过滤”的执行模式,以在某些情况下生成正确的结果,并在其他情况下不使用它。因此,事件的顺序如下:
在这里插入图片描述
这个方法的巧妙之处在于你可以在沿途的任何站点上加入“optimization train - 优化列车”。范围聚合将检查它们是否可以运行“filter by filter - 按过滤器过滤”。过滤聚合也会这样检查。

它没有范围特定优化所带来的维护负担,因为我们只需要维护新的“filter by filter - 按过滤器过滤”执行机制和聚合重写。而且我们可能可以通过其他重写来加速更多的聚合。我们能否将terms聚合重写为filters聚合并获得相同的优化效果?很可能!我们是否可以通过将 date_histogram 聚合中的terms聚合视为filters聚合而不是另一个filters聚合来优化它?也许。我们是否可以将geo-distance聚合重写为环形过滤器?很可能,但实际上可能不会更快。即使它不会在本质上更快,是否值得这样做,以减少工作集?找出答案将是一件有趣的事情。

于是,这个全新的世界 需要 崭新的 基准测试。我们依靠JMH进行微基准测试,而依靠Rally进行宏观基准测试。我们每晚运行Rally并发布结果。但这是另一篇博客文章的故事了。

无论如何,看到自己的工作让图表变得更好是一件有趣的事情。总的来说,这是一次有趣的旅程。在过去的一年里,我阅读的汇编语言比过去15年加起还要多。(后面的都是宣传广告了,就不贴了)

结束

感谢您的阅读,别忘了点赞、收藏哟~ Thanks♪(・ω・)ノ

ElasticSearch date_histogram按时间聚合统计
wanson2015的博客
05-15 1万+
按时间统计 如果搜索是在 Elasticsearch 中使用频率最高的,那么构建按时间统计的 date_histogram 紧随其后。 为什么你会想用 date_histogram 呢? 假设你的数据带时间戳。 无论是什么数据(Apache 事件日志、股票买卖交易时间、棒球运动时间)只要带有时间戳都可以进行 date_histogram 分析。当你的数据有时间戳,你总是想在 时间 维度上构建指...
Elasticsearch——Histogram字段类型
qq_37107851的博客
08-23 697
用于存储表示直方图的pre-aggregated数字数据的字段。此数据使用两个成对数组定义: 由两个double组成的value数组,表示histogram的存储桶(buckets)。必须按升序提供这些值。 对应的integer numbers的counts数组,表示每个存储桶中有多少个值。这些数字必须为正或零。 因为values数组中的元素对应于count数组中相同位置的元素,所以这两个数组必须具有相同的长度。 注意: histogram 字段只能存储每个文档的一对值和计数数组。不支持嵌套(nes
elasticsearch聚合系列之histogram
1073960086的博客
08-11 4348
histogram与terms聚合类似,都是数据分组,区别是terms是按照field的值分组,而histogram可以按照指定的间隔对field进行分组 解释一波 1、对age进行间隔为10的分组,分组内对age进行avg计算 2、interval:设置间隔 3、min_doc_count:设置阈值,最小doc_count数,即组内doc_count的值。6.2.4系列不能小于0 4、...
Elasticsearch聚合Date Histogram聚合
xingoo
11-09 1080
Elasticsearch聚合主要分成两大类:metric和bucket,2.0中新增了pipeline还没有研究。本篇还是来介绍Bucket聚合中的常用聚合——date histogram.参考:官方文档 用法 Date histogram的用法与histogram差不多,只不过区间上支持了日期的表达式。 { "aggs":{ "articles_over_time":{...
Elasticsearch】 日期直方图聚合(`date_histogram`)
risc123456的博客
02-05 1221
例如,对于时间`2022-11-29 23:59:59`,在时区`+08:00`下,以`1d`为单位聚合时,最终计算出的桶键为`2022-11-30 00:00:00`。• 如果数据量很大,建议使用`min_doc_count`参数过滤掉文档数量较少的桶,以减少返回结果的数量,提高查询性能。这种间隔会考虑夏令时等因素。• `extended_bounds`:扩展桶的范围,即使某些时间间隔内没有数据,也会生成空桶。• `time_zone`:指定时区,确保桶的划分基于特定的时区,而不是默认的 UTC。
Elasticsearch】`auto_date_histogram`聚合功能详解
risc123456的博客
02-05 1087
与传统的`date_histogram`不同,`auto_date_histogram`不需要用户手动指定时间间隔,而是根据数据自动选择最佳间隔。• `minimum_interval`:设置最小间隔,可选值包括`year`、`month`、`day`、`hour`、`minute`、`second`。• `time_zone`:指定时区,支持 ISO 8601 UTC 偏移量(如`+01:00`)或时区 ID(如`America/New_York`)。• `field`:指定用于聚合的日期字段。
Elasticsearch 聚合查询(三)空buckts以及date_histogram的使用
ydw的博客
03-09 1万+
Elasticsearch 聚合查询(三)空buckts以及date_histogram的使用 作者:ydw 地点:武汉 Email:hyl19900208@163.com Elasticsearch 聚合查询(三)空buckts以及date_histogram的使用 date_histogram的使用 案例一: 每月销售多少台汽车? 返回空的buckets ...
ES的DSL查询,按照时间段分组统计之date_histogram
t194978的博客
08-04 819
对于es保存的数据,需要根据其或时间戳格式的字段进行分组统计,计算每天或每小时的某字段统计值。
ElasticSearch学习 - (十)Elasticsearch按时间聚合 -- date_histogram
大白能的博客
08-10 4万+
// 查询 "query": { "bool": { "must": [{ &amp
[Elasticsearch] 聚合 - 时间数据处理(Looking at Time)
热门推荐
不忘初心,好好沉淀
01-11 6万+
本章翻译自Elasticsearch官方指南的Looking at Time一章。 时间数据处理(Looking at Time) 如果在ES中,搜索是最常见的行为,那么创建日期柱状图(Date Histogram)肯定是第二常见的。为什么要使用日期柱状图呢? 想象在你的数据中有一个时间戳。数据是什么不重要-Apache日志事件,股票交易日期,棒球比赛时间-任何拥
elasticsearch 聚合date_histogram 聚合
huan的学习记录
12-01 4039
此处来简单学习一下 `elasticsearch` 的 `date_histogram`直方图聚合。它和普通的直方图`histogram`聚合差不多,但是`date_histogram`只可于 `日期或日期范围` 类型的值一起使用。
ElasticSearch java实现星期小时热力图【Date histogram
少年单排,记录点滴
09-17 4000
版权声明:https://blog.csdn.net/qq_18769269/article/details/82746259 需求: 选定一段时间,统计该段时间内,星期一到星期天中每个小时中文章发布数量,做周-时热点统计,效果如下: Date histogram时间聚合介绍: 按时间聚合,想到了ES查询中的Date histogr...
Elasticsearch使用DateHistogram聚合
weixin_30256505的博客
06-27 2651
date_histogram是按照时间来构建集合(桶)Buckts的,当我们需要按照时间进行做一些数据统计的时候,就可以使用它来进行时间维度上构建指标分析. 在前面几篇中我们用到的hitogram也是可以处理日期的,但是,它不能自动识别日期,只会把日期看做是数字,在聚合的时候是不知道日历时间间隔. // 查询 "query": { ...
ElasticsearchElasticsearchDate Histogram Aggregation 中使用 painless 转换时间的时间进行统计直方图
程序员作家
05-25 1034
Date Histogram Aggregation日期直方图,这时候就需要用到ES为我们提供的一个很不错的高级特性,Script和painless数据统计
Elasticsearch如何做到数十亿数据查询毫秒级响应?
wr_java的博客
04-12 1532
这里有个真实的案例。然后这样的话,你大量的时间是在访问热数据 index,热数据可能就占总数据量的 10%,此时数据量很少,几乎全都保留在 filesystem cache 里面了,就可以确保热数据的访问性能是很高的。根据我们自己的生产环境实践经验,最佳的情况下,是仅仅在 es 中就存少量的数据,就是你要用来搜索的那些索引,如果内存留给 filesystem cache 的是 100G,那么你就将索引数据控制在 100G 以内,这样的话,你的数据几乎全部走内存来搜索,性能非常之高,一般可以在 1 秒以内。
Elasticsearch时间序列数据聚合
不见其长,日有所长
08-12 1999
0. 前言 本章翻译自Elasticsearch官方指南的Looking at Time一章。 1. 时间数据处理(Looking at Time) 如果在ES中,搜索是最常见的行为,那么创建日期柱状图(Date Histogram)肯定是第二常见的。为什么要使用日期柱状图呢? 想象在你的数据中有一个时间戳。数据是什么不重要-Apache日志事件,股票交易日期,棒球比赛时间-任何拥有时间戳的数据都能通过日期柱状图受益。当你有时间戳时,你经常会想创建基于时间的指标信息: 今年的每个月销售了多少辆车? 过
elasticsearchhistogram 直方图聚合
huan的学习记录
11-25 2117
`直方图聚合`是一种基于多桶值聚合,可从文档中提取的`数值`或`数值范围值`来进行聚合。它可以对参与聚合的值来动态的生成固定大小的桶。
Es直方图聚合--date_histogram
rbx508780的博客
07-13 2860
这允许以支持的单位的任意倍数指定固定间隔。但是,这意味着固定间隔不能表示其他单位,例如月,因为一个月的持续时间不是固定的数量。一分钟是指定时区中第一分钟的00秒和下一分钟的00秒之间的时间间隔,用于补偿任何介于其间的闰秒,因此整点后的分钟数和秒数在开始和结束时是相同的。所有天都在尽可能早的时间开始,通常是00:00:00(午夜)。它的单位只能是单数,不可是复数,比如。的关系,在有的国家,在某些时区下,一天就不一定是24个小时。单位,无论它们落在日历的哪个位置,都不会偏离。可用的单位为:分钟 (
kibana如何通过date_histogram聚合文档,需要满足Score.MarkedAsSecurityIssue为“1”
最新发布
05-29
<think>好的,我现在需要帮用户在Kibana中使用date_histogram聚合文档,同时过滤Score.MarkedAsSecurityIssue等于1的条件。首先,我得回忆一下Elasticsearch聚合和过滤语法。用户提到的date_histogram是时间区间的聚合,而过滤条件应该在聚合前应用,确保只处理符合条件的数据。根据引用中的示例,比如引用[1]里的filter在aggs内部,先过滤再聚合。所以用户的需求应该是在进行date_histogram之前,先过滤出Score.MarkedAsSecurityIssue为1的文档。因此,正确的结构应该是在aggs里嵌套一个filter,然后在filter内部再进行date_histogram聚合。 接下来,确认字段名称是否正确。Score.MarkedAsSecurityIssue可能是一个嵌套字段,需要注意是否需要使用nested聚合或者正确的路径。不过用户可能已经简化了字段名,可能直接是Score.MarkedAsSecurityIssue,假设是顶级字段的话,可以直接用点号表示。但Elasticsearch中如果字段包含点号,可能需要用引号包裹,或者确认字段的实际名称。 然后,date_histogram需要指定field(日期字段),interval(如天、月等),可能还需要format来定义日期格式。用户没有指定具体的日期字段,这里可能需要用占位符如@timestamp,或者提醒用户替换成实际字段。最后,组合这些部分,确保语法正确,比如使用range查询的话可能需要调整,但这里用户的条件是等于1,所以应该用term查询。不过term查询对于数值字段是精确匹配,而Score.MarkedAsSecurityIssue是数值1的话,应该没问题。检查引用中的例子,比如引用[3]中的terms聚合和order排序,这里需要将filter和date_histogram结合。可能需要类似的结构: {"size":0,"aggs": {"filtered_agg": {"filter":{"term": {"Score.MarkedAsSecurityIssue":1}},"aggs": {"date_histo": {"date_histogram": {"field":"date_field","interval":"day"}}}}} }这样应该能满足用户的需求。另外,在Kibana中可能需要通过Dev Tools来执行这个查询,或者集成到可视化中。需要提醒用户替换日期字段和调整interval。 还需要考虑是否有其他过滤条件,是否需要bool查询,但用户当前需求只是这个单一条件,所以简单的term过滤即可。同时,确认是否需要处理大小写或者字段类型问题,比如字段是否为keyword而不是数值,但用户提到等于1,应该是数值类型。 最后生成相关问题,可能涉及如何调整时间间隔、过滤条件的组合、嵌套聚合等,参考用户之前的快速排序问题,生成类似的结构。</think>在Kibana中使用`date_histogram`聚合并过滤`Score.MarkedAsSecurityIssue=1`的文档,可通过以下步骤实现: --- ### 1. **DSL查询语句** 在Kibana的**Dev Tools**中执行以下查询,通过`filter`参数先过滤目标文档,再通过`date_histogram`按时间区间聚合: ```json GET /your_index/_search { "size": 0, "aggs": { "security_issues_filter": { "filter": { "term": { "Score.MarkedAsSecurityIssue": 1 // 过滤条件 } }, "aggs": { "date_histogram_agg": { "date_histogram": { "field": "@timestamp", // 替换为你的日期字段 "interval": "day", // 时间间隔(day/month/year等) "format": "yyyy-MM-dd" // 日期格式(可选) } } } } } } ``` --- ### 2. **关键参数说明** - **`filter`**: 使用`term`精确匹配`Score.MarkedAsSecurityIssue=1`[^1]。 - **`date_histogram`**: - `field`: 指定日期字段(如`@timestamp`)。 - `interval`: 定义时间区间(如`day`/`month`/`1h`)。 - `format`: 控制聚合结果的日期显示格式。 --- ### 3. **Java业务层实现(参考)** 若需在代码中实现,可参考类似逻辑: ```java // 设置过滤条件 QueryBuilder filter = QueryBuilders.termQuery("Score.MarkedAsSecurityIssue", 1); // 构建聚合 AggregationBuilder dateHistogramAgg = AggregationBuilders .dateHistogram("date_histogram_agg") .field("@timestamp") .calendarInterval(DateHistogramInterval.DAY); // 组合查询 SearchRequest request = new SearchRequest("your_index"); request.source().size(0).aggregation( AggregationBuilders.filter("security_issues_filter", filter) .subAggregation(dateHistogramAgg) ); ``` --- ### 4. **注意事项** - 若`Score.MarkedAsSecurityIssue`是嵌套字段,需使用`nested`聚合[^2]。 - 若需多条件过滤,改用`bool`查询[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天河书阁 VicRestart

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值