Elasticsearch的聚合

最新推荐文章于 2025-10-31 18:00:00 发布
原创 最新推荐文章于 2025-10-31 18:00:00 发布 · 563 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨Elasticsearch中的聚合功能,解析bucket与metrics概念,演示如何使用aggs关键字进行基本聚合,嵌套聚合及聚合指标计算,适用于对大量数据进行高效过滤与统计分析。

一些概念

如同sql里面的group by关键字,Elasticsearch(以下简称es)也是支持聚合、统计的。

es的聚合有两个比较重要的概念:

  • bucket :桶
  • Metrics :指标

Buckets

Buckets简单来说就是满足特定条件的文档的集合。

如同我们经常使用的sql中group by A,B,C…,每个A,B,C等这样的关键字都可以将其视为桶。因为数据库的表都是二维表的形式,es的Buckets并不支持多个字段,但是可以嵌套。这个后续会说到。

Metrics

Metrics 就是对Buckets里面的数据进行各种统计计算。

如同sql里面group by后,你可以使用关键字count、max、avg等来统计,计算最大、最小、平均值。es当然也都支持,而且还有一些更多的sao操作,后续说到。

基本聚合

说明:关于对es的交互,可以先去翻翻我之前写的博文。这里不再累述,仅会给出查询表达式。后续皆是。

aggs关键字

aggs关键字使用规则比较简单:给聚合取个名,指定要聚合的关键字。比如:

{
  "size": 0,
  "aggs": {
    "srvNameAgg": {
      "terms": {
        "field": "srvName"
      }
    }
  }
}

这个就表示对srvName字段进行聚合,“size”:0表示不需要hits的结果。结果如下:

{
  "took": 2,
  "timed_out": false,
  "_shards": {
    "total": 5,
    "successful": 5,
    "skipped": 0,
    "failed": 0
  },
  "hits": {
    "total": 10000,
    "max_score": 0,
    "hits": []
  },
  "aggregations": {
    "srvNameAgg": {
      "doc_count_error_upper_bound": 81,
      "sum_other_doc_count": 5633,
      "buckets": [
        {
          "key": "sDynSvc",
          "doc_count": 1514
        },
        {
          "key": "sAppQry",
          "doc_count": 518
        },
        ...

聚合的结果是在aggregations.你的聚合名.buckets里面。也可以看到。

嵌套聚合

正如之前所说的。es的聚合并支持多个字段的聚合,也就是说,你不能在一个aggs下多个字段聚合。
BUT,这个问题可以通过别的script方式实现,但是需要改下es原有的配置,有兴趣可以看看这个:https://www.elastic.co/guide/en/elasticsearch/reference/6.3/search-aggregations-metrics-scripted-metric-aggregation.html

其实,我们通过sql group by出来的结果,比如这种,聚合出来的二维表,
https://blog.abreaking.com/upload/2019/09/vftklp9uk0gujqv8f8g7c0qna8.jpg
我们同样可以通过Json节点的形式来进行描述:

{
  "DMDB":{
    "DRS":{
      "DMDB.DRS.DrSendType":"",
      "DMDB.DRS.ProcessExists":"",
    },
    "DRS.B":{
      "DMDB.DRS.B.DrSendType":"",
      "DMDB.DRS.B.ProcessExists":""
    },
    ...
  },
  "HBase":{
    "HMaster":{
      "Hadoop.HBase.HMaster.HaStatus":"",
      "Hadoop.HBase.HMaster.ProcessExists":""
    },
    "HRegionServer":{
      "Hadoop.HBase.HRegionServer.Blocked":"",
      "Hadoop.HBase.HRegionServer.ProcessExists":""
    }
    ...
  },
  "HDFS":{
    "DataNode":{
      "Hadoop.HDFS.DataNode.ProcessExists":""
    },
    "NameNode":{
      "Hadoop.HDFS.NameNode.HaStatus":"",
      "Hadoop.HDFS.NameNode.ProcessExists":""
    }
    ...
  },
  "YARN":{
    ...
  }
}

所以,针对这种多聚合,我们直接嵌套桶(buket)的方式。

{
  "size": 0,
  "aggs": {
    "srvNameAgg": {
      "terms": {
        "field": "srvName"
      },
      "aggs":{
        "retCodeAgg":{
          "terms":{
            "field":"retCode"
          },
          "aggs":{
            "retMsgAgg": {
              "terms": {
                "field": "retMsg"
              }
            }
          }
        }
      }
    }
  }
}

返回结果形如:

{
  ...,
  "aggregations": {
    "srvNameAgg": {
      "doc_count_error_upper_bound": 81,
      "sum_other_doc_count": 5633,
      "buckets": [
        {
          "key": "sPFeeQuery",
          "doc_count": 497,
          "retCodeAgg": {
            "doc_count_error_upper_bound": 0,
            "sum_other_doc_count": 0,
            "buckets": [
              {
                "key": "0",
                "doc_count": 465,
                "retMsgAgg": {
                  "doc_count_error_upper_bound": 0,
                  "sum_other_doc_count": 0,
                  "buckets": [
                    {
                      "key": "ok!",
                      "doc_count": 465
                    }
                  ]
                }
              },
              {
                "key": "422001001",
                "doc_count": 32,
                "retMsgAgg": {
                  "doc_count_error_upper_bound": 0,
                  "sum_other_doc_count": 22,
                  "buckets": [
                    {
                      "key": "用户不存在 ERRID:10901775",
                      "doc_count": 1
                    },
                    {
                      "key": "用户不存在 ERRID:13251308",
                      "doc_count": 1
                    }
                  ]
                }
              }
            ]
          }
        },
        {
          "key": "sUserOrdQry",
          "doc_count": 360,
          "retCodeAgg": {
          ...

Tips:重点观察下buckets下面的key及doc_count

需要注意的是,经过本人的测试,聚合嵌套的越多效率也就越地低。尤其是某一层的桶可能返回数据特别多(比如后续说到的对时间粒度的聚合),聚合效率更是尤为低下。

聚合指标

从上面可以看出,es默认是返回了统计的结果,也就是类似数据库的count(*)的结果。它同样也是能支持avg、min、max等计算。

比如:求esb里面服务的平均执行时间:

{
  "size":0,
  "aggs":{
    "srv_aggs":{
      "terms":{
        "field":"srvName"

      },
      "aggs":{
        "avg_executeTime":{
          "avg":{
            "field":"executeTime"
          }
        }
      }
    }
  }
}

结果如下:

"took": 15,
   "timed_out": false,
   "_shards":    {...},
   "hits":    {...},
   "aggregations": {"srv_aggs":    {
      "doc_count_error_upper_bound": 49,
      "sum_other_doc_count": 2607,
      "buckets":       [
                   {
            "key": "sAppQry",
            "doc_count": 2440,
            "avg_executeTime": {"value": 107.825}
         },
                  {
            "key": "sPFeeQuery",
            "doc_count": 1483,
            "avg_executeTime": {"value": 219.701955495617}
         },
                  {
            "key": "sUserOrdQry",
            "doc_count": 1427,
            "avg_executeTime": {"value": 91.43587946741415}
         },
                  {
            "key": "sQryCreditInfo",
            "doc_count": 444,
            "avg_executeTime": {"value": 59.240990990990994}
         },
         ...

The end

聚合是比较费时间的。普通的查询,如term、match,都是通过倒排索引来匹配,其时间复杂度基本上可以视为o(1)。而聚合是会遍历所有的数据,时间复杂度则是o(n),随着多层的嵌套,其时间复杂度线性增长。

所以,最好不要对大量的数据进行聚合,尤其不要嵌套聚合。应该在聚合之前对这大量的数据先过滤,筛选出有意义的数据再进行聚合。

关于过滤+聚合可以参考后续博文。

Reference

官方文档—Aggregations:https://www.elastic.co/guide/en/elasticsearch/guide/current/aggregations.html

Elasticsearch 聚合分析:大数据统计与可视化方案
AI 领航者的博客
09-16 1147
在大数据时代,企业面临从海量非结构化/半结构化数据中快速提取价值的挑战。Elasticsearch(以下简称 ES)作为分布式搜索与分析引擎,其聚合分析功能能高效处理 PB 级数据的统计分析任务。聚合分析的三大核心类型(桶、指标、管道)的技术实现复杂聚合场景的建模与查询优化与 Kibana 集成实现交互式可视化分析典型业务场景的解决方案设计章节核心内容核心概念解析桶聚合、指标聚合、管道聚合的原理及相互关系,附可视化架构图算法与操作步骤。
ElasticSearch聚合排序
冲出仁川,走出马德里,故事还会再继续
06-10 822
根据之前的博客可知,ES对于聚合结果的默认排序规则有时并非是我们希望的。可以使用ES提供的sort子句进行自定义排序,有多种排序方式可供选择:按照聚合后的文档计数的大小进行排序按照聚合后的某个指标进行排序按照每个组的名称进行排序。
Elasticsearch 对于大数据量(上亿量级)的聚合如何实现
Flying_Fish_roe的博客
10-09 1140
Elasticsearch 在处理上亿量级的数据聚合时,通过其分布式架构、高效的索引结构和一系列优化技术,实现了高性能的聚合操作。通过合理设计数据分布、优化分片策略、利用高级聚合算法以及调整硬件和集群配置,开发者可以在处理大规模数据聚合时,获得更好的性能和效率。在实际应用中,结合具体业务场景和数据特点,应用本文介绍的优化策略,可以显著提升 Elasticsearch聚合性能,确保在大数据量下依然能够高效、稳定地提供分析和搜索服务。
elasticsearch多级聚合查询
热门推荐
zhaojianting的博客
10-10 2万+
欢迎关注鄙人的公众号号,技术干货随时看! **鄙人的新书《elasticsearch7完全开发指南》,欢迎订阅!** ----- https://wenku.baidu.com/view/8ff2ce94591b6bd97f192279168884868762b8e7 **《kibana权威指南》** ---- https://wenku.baidu.com/view/24cfee1...
Elasticsearch - 3 个常见的 Elasticsearch 误区 新手别踩坑
最新发布
千淘万漉虽辛苦,吹尽狂沙始到金
10-31 1万+
Elasticsearch三大误区及规避策略 本文揭示了Elasticsearch使用中的三个常见误区:默认配置生产就绪、忽视映射定义、滥用深度分页。这些误区可能导致性能下降、系统崩溃和数据错误。文章通过Java代码示例和图表分析,提出了针对性的解决方案:调整JVM和集群设置、显式定义映射、使用search_after替代深度分页。理解这些陷阱能帮助开发者在面对海量数据和高并发查询时,构建更稳定高效的搜索应用。正确的配置和优化是充分发挥Elasticsearch潜力的关键。
ElasticSearch聚合操作
Charge8的博客
06-20 2996
ElasticSearch聚合操作
ES之五:ElasticSearch聚合
weixin_34221276的博客
03-09 436
  前言 说完了ES的索引与检索,接着再介绍一个ES高级功能API – 聚合(Aggregations),聚合功能为ES注入了统计分析的血统,使用户在面对大数据提取统计指标时变得游刃有余。同样的工作,你在Hadoop中可能需要写mapreduce或Hive,在mongo中你必须得用大段的mapreduce脚本,而在ES中仅仅调用一个API就能实现了。 开始之前,提醒老司机们注意,ES原有...
ElassticSearch对字段截取后再聚合
学无止境,永不停歇
10-23 2356
环境:ElasticSearch6.7 需求:利用ElasticSearch某个字段值的前几位进行聚合 Restful查询语句: GET /ads_lading_trade_brief_es/_search { "size": 0, "query": { "bool": { "must": [ { "match": { "country": "US" } } ] }
ElasticSearch聚合操作详解
qq_44027353的博客
08-13 2095
同理,聚合的前半部分 query 中如果有基于时间查询,或者后半部分 aggs 部分中有基于时间聚合的,建议都使用 datemath 方式做缓存处理以优化性能。如果多次执行同一 filter 操作,这将很有效,但是即便更改过滤器中的某一个值,也将意味着需要计算新的过滤器结果。一些满足特定条件的文档的集合放置到一个桶里,每一个桶关联一个key,类比Mysql中的group by操作。下方案例中,求和返回数据量最大的3个数据,D的数据在两个shard上,结果是6,但是返回的数据中没有D。
ElasticSearch聚合分页
冲出仁川,走出马德里,故事还会再继续
06-10 802
ES支持同时返回查询结果和聚合结果,前面的博客在介绍聚合查询时,查询结果和聚合结果各自封装在不同的子句中。但有时我们希望聚合的结果按照每组选出前N个文档的方式进行呈现,最常见的一个场景就是电商搜索,如搜索苹果手机6S,搜索结果应该展示手机6S型号中的一款手机即可,而不论该型号手机的颜色有多少种。另外,当聚合结果和查询结果封装在一起时,还需要考虑对结果分页的问题,此时之前的博客介绍的聚合查询就不能解决这些问题了。ES提供的Top hits聚合和Collapse。
elasticsearch聚合后分页
12-16
方法如果传总页数了,es就不用查询总页数,直接通过开始位置到结束位置取数即可
Elasticsearch 之(26)聚合数据分析_易并行聚合算法,三角选择原则,近似聚合算法...
weixin_30906185的博客
05-28 217
1、易并行聚合算法有些聚合分析的算法,是很容易就可以并行的,比如说max有些聚合分析的算法,是不好并行的,比如说,count(distinct),并不是说,在每个node上,直接就出一些distinct value,就可以的,因为数据可能会很多es会采取近似聚合的方式,就是采用在每个node上进行近估计的方式,得到最终的结论,cuont(distcint),100...
Elasticsearch对于大数据量(上亿量级)的聚合如何实现?
qq_33240556的博客
02-02 770
Elasticsearch 在处理大数据量(上亿级别)的聚合时,由于其分布式架构和内存优化的设计,能够有效地进行大规模数据处理。总之,应对大数据量的聚合需求,需结合合理的系统设计、有效的资源配置以及针对性的查询优化策略,才能确保Elasticsearch在海量数据下仍能高效地执行聚合任务。
Elasticsearch 对于大数据量(上亿量级)的聚合如何实现?
m0_67402731的博客
04-01 2591
Elasticsearch 提供的首个近似聚合是 cardinality 度量。它提供一个字段的基数,即该字段的 distinct 或者unique 值的数目。它是基于 HLL 算法的。HLL 会先对我们的输入作哈希运算,然后根据哈希运算的结果中的 bits 做概率估算从而得到基数。其特点是:可配置的精度,用来控制内存的使用(更精确 = 更多内存);小的数据集精度是非常高的;我们可以通过配置参数,来设置去重需要的固定内存使用量。无论数千还是数十亿的唯一值,内存使用量只与你配置的精确度相关。 ...
Elasticsearch 对于大数据量(上亿量级)的聚合如何实现?思维导图 代码示例(java 架构)
qq_33240556的博客
12-12 695
处理上亿量级数据的聚合查询是 Elasticsearch 的一个重要应用场景。为了高效地执行这种大规模的数据分析,Elasticsearch 提供了多种优化和策略。以下是关于如何在 Elasticsearch 中实现大数据量聚合的详细描述、思维导图以及 Java 架构代码示例。
ES操作随笔之多层聚合查询到底该怎么写?
AZHELL的博客
01-04 4707
{ // 这是查询 "query": { "bool": { "must": [ { "range": { "catm": { // 这里的时间范围会影响到我们后面的对时间的聚合 ".
ES复杂分组同时多聚合统计实现(java)
zwrlj527的专栏
01-07 1万+
前言 本来计划上一篇是最近的最后一篇,然后,这周手上还分的一点活,按照计划处理完成了,这会顺便跟大家分享下。 内容是java端操作ES做分组、聚合统计。 一、需求场景 其实需求也不复杂,就是一个红外感应的物联网设备进出都有统计上报流水,然后客户提出需要对这些数据进行统计,计算客流数量,进行展示。 二、需求分析 经过沟通确认,这个需求可以沉淀升级为一个通用的流水分组聚合统计接口。拆解结果,接口具体要求: 1、区分项目 2、租户下设备 (分组) 3、设备属性(分组) 4、统计类型 (平均值、求数目、求和)
挖掘ElasticSearch聚合分析的宝藏:多维度洞察与复杂计算
silenceallat的博客
03-27 1294
本文深入探讨了ElasticSearch聚合分析功能,展示了如何利用桶聚合、指标聚合和管道聚合进行多维度分析和复杂计算。通过实际案例,我们了解了如何按时间、商品类别分组,计算销售趋势、平均销售价格和销售增长率。同时,我们还掌握了使用脚本聚合进行折扣后销售额计算和促销活动效果分析的技巧。这些进阶应用将帮助读者更好地理解和运用ElasticSearch聚合分析能力,提升数据处理和业务决策的效率。
elasticsearch聚合
01-15
### 使用Elasticsearch聚合功能 #### 设置环境并执行基本聚合查询 为了利用Elasticsearch的强大聚合能力,首先需要确保已安装配置好Elasticsearch集群,并通过RESTful API接口与其交互。对于简单的聚合操作,比如基于单个字段进行统计汇总,可以直接构建`terms`类型的聚合查询。 ```json GET /es_db/_search { "size": 0, "aggs": { "hs_remark_agg": { "terms": { "field": "remark.keyword" } } } } ``` 上述命令展示了如何创建一个仅返回聚合结果而不展示具体文档详情的请求[^4]。这里设置了`size: 0`来指示服务器忽略具体的匹配项而专注于聚合部分的结果集处理。 #### 多字段复合聚合实现 当涉及到多个维度的同时分析时,则可采用更复杂的结构——即所谓的“桶内嵌套”。这允许在一个更大的分类下进一步细分数据点。例如,在测试案例中验证了多字段组合的有效性[^1]: ```json POST /your_index_name/_search?size=0 { "query": {}, "aggs": { "composite_aggregation_example": { "composite": { "sources": [ {"source_field_1": {"terms": {"field": "field_one"}}}, {"source_field_2": {"terms": {"field": "field_two"}}} ] } } } } ``` 这段JSON定义了一个名为`composite_aggregation_example`的新聚合器实例,其中包含了两个源字段作为分组依据。这种设计非常适合于探索不同属性之间的关系以及它们共同影响下的分布情况。 #### 应用场景举例说明 实际应用方面,Elasticsearch聚合特性广泛适用于各类数据分析需求。无论是追踪用户行为轨迹还是评估产品性能表现,亦或是研究人力资源状况等都能找到合适的解决方案[^2]。例如,可以通过聚合获取某段时间内的平均响应时间、最常访问页面路径或者是最高收入的商品类别等等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值