Elasticsearch 聚合分析(Aggregations)详解

原创 于 2025-08-18 02:54:46 发布 · 1.1k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elasticsearch #聚合分析 #学习

Elasticsearch 聚合分析(Aggregations) 是其最强大的功能之一,远超传统数据库的 GROUP BY。它支持多维分析、嵌套聚合、管道聚合、统计计算等,广泛应用于数据分析、报表生成、搜索结果筛选(Facets)、监控系统等场景。

本文将全面详解 Aggregations 的类型、语法、使用场景与最佳实践。

一、什么是聚合(Aggregations)?

聚合(Aggregations) 是对搜索结果集进行 分组、统计、分析 的操作,返回结构化分析结果,而非原始文档。

✅ 类比 SQL:

SELECT category, COUNT(*), AVG(price) 
FROM products 
GROUP BY category 
HAVING COUNT(*) > 10;

在 Elasticsearch 中通过 aggs 实现。

二、聚合的基本结构

GET /index/_search
{
  "query": { ... },  // 先过滤数据
  "aggs": {
    "NAME": {        // 聚合名称(自定义)
      "AGG_TYPE": {  // 聚合类型(如 terms, avg)
        ...         // 聚合参数
      }
    }
  }
}
  • 聚合基于 查询结果集 执行;
  • 可嵌套、可组合;
  • 不影响 _source 返回的文档。

三、四大类聚合详解

Elasticsearch 聚合分为四类:

类型说明示例
Metrics Aggregations计算数值指标(如平均值、总和)avg, sum, stats
Bucket Aggregations分组(如按品牌、价格段分组)terms, range, date_histogram
Pipeline Aggregations对其他聚合结果再计算derivative, moving_avg
Matrix Aggregations跨字段矩阵分析(实验性)matrix_stats

四、Metrics 聚合(指标聚合)

计算数值字段的统计信息。

1. avg / sum / min / max / value_count

"aggs": {
  "avg_price": { "avg": { "field": "price" } },
  "total_sales": { "sum": { "field": "sales_count" } },
  "min_price": { "min": { "field": "price" } },
  "doc_count": { "value_count": { "field": "title" } }
}

2. stats —— 一次性返回多个统计值

"aggs": {
  "price_stats": {
    "stats": { "field": "price" }
  }
}

返回:

{
  "count": 100,
  "min": 100.0,
  "max": 999.0,
  "avg": 450.0,
  "sum": 45000.0
}

3. extended_stats —— 扩展统计

包含方差、标准差等:

"aggs": {
  "price_extended": {
    "extended_stats": { "field": "price" }
  }
}

返回 std_deviation, variance, sum_of_squares 等。

4. percentiles —— 百分位数

用于分析延迟、响应时间分布:

"aggs": {
  "load_time_percentiles": {
    "percentiles": {
      "field": "load_time_ms",
      "percents": [50, 95, 99, 99.9]
    }
  }
}

返回 P50、P95、P99 等。

5. cardinality —— 去重计数(HyperLogLog)

估算唯一值数量,性能高:

"aggs": {
  "unique_users": {
    "cardinality": { "field": "user_id" }
  }
}

用于 UV 统计,误差率约 5%。

五、Bucket 聚合(桶聚合)

将文档分组到“桶”(Bucket)中,每个桶代表一组文档。

1. terms —— 按字段值分组(最常用)

"aggs": {
  "by_brand": {
    "terms": {
      "field": "brand",
      "size": 10,
      "order": { "_count": "desc" }
    }
  }
}
  • 适用于 keywordiplong 等字段;
  • size 控制返回桶数量;
  • 默认按文档数排序。

⚠️ 不适用于 text 字段(需开启 fielddata,不推荐)。

2. range —— 范围分组

"aggs": {
  "price_ranges": {
    "range": {
      "field": "price",
      "ranges": [
        { "to": 100000 },      // < 1000元
        { "from": 100000, "to": 500000 },
        { "from": 500000 }
      ]
    }
  }
}

3. date_histogram —— 时间直方图(最常用)

按时间间隔(如每小时、每天)分组。

"aggs": {
  "sales_per_day": {
    "date_histogram": {
      "field": "created_at",
      "calendar_interval": "day",
      "time_zone": "Asia/Shanghai"
    },
    "aggs": {
      "daily_revenue": { "sum": { "field": "price" } }
    }
  }
}
  • calendar_interval: second, minute, hour, day, week, month, quarter, year
  • 支持嵌套聚合(如每日销售额)

4. histogram —— 数值直方图

按固定间隔对数值分组:

"aggs": {
  "price_histogram": {
    "histogram": {
      "field": "price",
      "interval": 100000  // 每 1000 元一个桶
    }
  }
}

5. filters —— 自定义条件分组

"aggs": {
  "category_stats": {
    "filters": {
      "filters": {
        "electronics": { "term": { "category": "electronics" } },
        "clothing": { "term": { "category": "clothing" } },
        "high_price": { "range": { "price": { "gte": 500000 } } }
      }
    }
  }
}

6. significant_terms —— 显著项分析

找出与整体分布相比“显著不同”的项,用于异常检测。

"aggs": {
  "significant_brands": {
    "significant_terms": {
      "field": "brand"
    }
  }
}

示例:在“手机”类目中,“Apple” 出现频率远高于其他类目。

六、嵌套聚合(Nested Aggregations)

聚合可以嵌套,实现多维分析。

示例:按品牌分组,再统计价格分布

"aggs": {
  "by_brand": {
    "terms": { "field": "brand" },
    "aggs": {
      "price_stats": { "stats": { "field": "price" } },
      "price_ranges": {
        "range": {
          "field": "price",
          "ranges": [
            { "to": 500000 },
            { "from": 500000 }
          ]
        }
      }
    }
  }
}

返回:

"buckets": [
  {
    "key": "Apple",
    "doc_count": 15,
    "price_stats": { "avg": 899900, ... },
    "price_ranges": { "buckets": [...] }
  }
]

七、Pipeline 聚合(管道聚合)

对其他聚合的结果进行二次计算。

1. derivative —— 导数(变化量)

"aggs": {
  "sales_per_day": {
    "date_histogram": { "field": "created_at", "calendar_interval": "day" },
    "aggs": {
      "daily_revenue": { "sum": { "field": "price" } },
      "revenue_change": { "derivative": { "buckets_path": "daily_revenue" } }
    }
  }
}

返回每天相比前一天的收入变化。

2. moving_avg —— 移动平均

"revenue_ma": {
  "moving_avg": {
    "buckets_path": "daily_revenue",
    "window": 7,
    "model": "holt_winters"
  }
}

用于趋势平滑。

3. bucket_script —— 自定义脚本计算

"profit_rate": {
  "bucket_script": {
    "buckets_path": {
      "revenue": "daily_revenue",
      "cost": "daily_cost"
    },
    "script": "params.revenue > 0 ? (params.revenue - params.cost) / params.revenue : 0"
  }
}

八、聚合性能优化建议 ✅

场景建议
terms 聚合使用 keyword 字段,避免 text
大基数字段启用 execution_hint: "map""global_ordinals"
深度嵌套避免过深,影响性能
cardinality接受一定误差,性能远高于 terms + size=10000
date_histogram使用 fixed_interval 而非 calendar_interval(更高效)
分页聚合使用 composite 聚合支持深度分页

九、Composite Aggregation(复合聚合)

用于深度分页和大规模聚合。

"aggs": {
  "my_buckets": {
    "composite": {
      "sources": [
        { "brand": { "terms": { "field": "brand" } } },
        { "category": { "terms": { "field": "category" } } }
      ],
      "size": 10
    }
  }
}

支持 after 分页:

"after": { "brand": "Xiaomi", "category": "phone" }

✅ 替代 terms + size=10000 的深度分页方案。

十、完整示例:电商数据分析

GET /sales/_search
{
  "size": 0,
  "query": {
    "range": {
      "created_at": {
        "gte": "2024-01-01",
        "lt": "2024-07-01"
      }
    }
  },
  "aggs": {
    "monthly_sales": {
      "date_histogram": {
        "field": "created_at",
        "calendar_interval": "month"
      },
      "aggs": {
        "revenue": { "sum": { "field": "price" } },
        "avg_order_value": { "avg": { "field": "price" } },
        "top_brands": {
          "terms": { "field": "brand", "size": 5 },
          "aggs": {
            "category_breakdown": {
              "terms": { "field": "category" }
            }
          }
        }
      }
    },
    "overall_stats": {
      "stats": { "field": "price" }
    }
  }
}

十一、总结:聚合类型速查表

聚合类型用途是否支持嵌套
terms按字段分组
date_histogram时间序列分析
range范围分组
avg / sum数值统计
cardinality去重计数
percentiles分位数分析
significant_terms异常项检测
derivative变化量
bucket_script自定义计算
composite深度分页
第11篇:你知道ElasticSearch聚合分析能力有多强?
老王随聊
05-31 1107
背景:目前国内有大量的公司都在使用 Elasticsearch,包括阿里、京东、滴滴、今日头条、小米、vivo等诸多知名公司。除了搜索功能之外,Elasticsearch还结合Kibana、Logstash、Elastic Stack还被广泛运用在大数据近实时分析领域,包括日志分析、指标监控等多个领域。 本节内容:ElasticSearch强悍聚合分析能力详解。 目录 1、ES的聚合Aggregations分类 1.1 度量聚合——metric 1.2 桶聚合——bucketing ...
Elasticsearch聚合分析入门
武培轩
03-22 527
本文主要介绍 Elasticsearch聚合功能,介绍什么是 Bucket 和 Metric 聚合,以及如何实现嵌套的聚合。 首先来看下聚合(Aggregation): 什么是 Aggregation? 首先举一个生活中的例子,这个是京东的搜索界面,在搜索框中输入“华为”进行搜索,就会得到如上界面,搜索框就是我们常用的搜索功能,而下面这些,比如分类、热点、操作系统、CPU 类型等是根据 ES...
ElasticSearch聚合分析
pizicai007的博客
02-13 354
聚合分析,英文名 aggregation,是 ES 处搜索功能外提供的针对 ES 数据做统计分析的功能。其功能丰富,提供了 bucket, metric, pipeline 等多种分析方式,其主要方式有: Metric:指标分析类型,如计算最大值,最小值等。 Bucket:分桶类型,类似与 SQL 中的 GROUP BY 语法。 Pipeline:管道分析类型,基于上一层的聚合分析结果进行再...
ElasticSearch聚合aggregations
来日浅谈的博客
07-16 728
ElasticSearch聚合aggregations1. 基本概念2. 聚合为桶3. 桶内度量4. 桶内嵌套桶5. 划分桶的其他方式5.1 阶梯分桶Histogram5.2 范围分桶range 聚合可以让我们极其方便的实现对数据的统计、分析。例如: 什么品牌的手机最受欢迎? 这些手机的平均价格、最高价格、最低价格? 这些手机每月的销售情况如何? 实现这些统计功能的比数据库的sql要方便的多,而且查询速度非常快,可以实现实时搜索效果。 Elasticsearch中的聚合,包含多种类型,最常用的两种,
elasticsearch系列六:聚合分析聚合分析简介、指标聚合、桶聚合
weixin_33896726的博客
06-22 829
一、聚合分析简介  1. ES聚合分析是什么? 聚合分析是数据库中重要的功能特性,完成对一个查询的数据集中数据的聚合计算,如:找出某字段(或计算表达式的结果)的最大值、最小值,计算和、平均值等。ES作为搜索引擎兼数据库,同样提供了强大的聚合分析能力。 对一个数据集求最大、最小、和、平均值等指标的聚合,在ES中称为指标聚合   metric 而关系型数据库中除了有聚合函数外,还可以对查询出的数据进行...
Elasticsearch聚合分析
LoveSummer
02-21 1220
聚合分析 英文为 Aggregation,是 es 除搜索功能为提供的针对 es数据做统计分析的功能 - 功能丰富,提供Bucket,Metric、Pipeline等多种分析方式,可以满足大部分的分析需求 - 实时新高,所有的计算结果都是即时返回的,而Hadoop的大数据系统一般都是T+1级别的 聚合分析作为 search的一部分,api如下所示: 请告诉我公司目前在职人员工作岗位的分布情...
Elasticsearch聚合Aggregations)操作详解
最新发布
gorgor在码农
07-24 1218
Elasticsearch聚合功能详解:数据统计分析的利器 Elasticsearch聚合功能分为三大类:桶聚合、指标聚合和管道聚合。桶聚合类似SQL中的GROUP BY,可将文档分组到不同"桶"中,包括terms、range、histogram等基础类型及nested、significant_terms等高级类型。指标聚合用于数值计算,包含单值(avg/sum/min/max)和多值(stats/percentiles)两种。管道聚合则能对已有聚合结果二次处理,如min_bucket
掌握 ElasticSearch 聚合查询:Aggregations 入门与实战
weixin_44283682的博客
02-28 1248
本文深入浅出地介绍了 Elasticsearch 7.10 中的聚合查询(Aggregations)基础知识。聚合查询是 Elasticsearch 中进行数据分析的强大工具,类似于 SQL 中的 GROUP BY 和聚合函数,但功能更强大、更灵活。文章首先介绍了聚合查询的基本概念、语法结构和三种核心聚合类型:指标聚合(Metrics Aggregations)、桶聚合(Bucket Aggregations)和管道聚合(Pipeline Aggregations)。
Elasticsearch 聚合查询(Aggregation)详解
wayne_youlu的博客
11-25 1888
Elasticsearch中的聚合查询,类似SQL的SUM/AVG/COUNT/GROUP BY分组查询,主要用于统计分析场景。
Elasticsearch面试必知】Elasticsearch中的聚合(Aggregation)详解
IT成长日记的博客
06-07 1430
Elasticsearch 聚合(Aggregation)是 ES 提供的一种强大的数据分析功能,它允许你对数据进行分组、统计和提取摘要信息。聚合类似于 SQL 中的 GROUP BY 和聚合函数(如 COUNT, SUM, AVG 等),但功能更为强大和灵活。Elasticsearch 聚合提供了强大的数据分析能力,合理使用聚合功能可以极大地提升数据分析和洞察能力,是 Elasticsearch 作为搜索和分析引擎的核心价值之一。影响资源使用(CPU/内存)聚合结果(统计/分组数据)
Elasticsearch:aggregation 介绍
Elastic 中国社区官方博客
11-02 6888
聚合(aggregation)功能集是整个Elasticsearch产品中最令人兴奋和有益的功能之一,主要是因为它提供了一个非常有吸引力对之前的facets的替代。 在本教程中,我们将解释Elasticsearch中的聚合(aggregation)并逐步介绍一些示例。 我们比较了指标聚合和存储桶聚合,并展示了如何利用聚合嵌套(对于facets而言这是不可能的)。 欢迎您在本文中复制所有示例代码。......
Elasticsearch--Aggregation详细总结(聚合统计)
热门推荐
donghaixiaolongwang的博客
02-28 7万+
Elasticsearch的Aggregation功能也异常强悍。 Aggregation共分为三种:Metric Aggregations、Bucket Aggregations、 Pipeline Aggregations。下面将分别进行总结。 以下所有内容都来自官网:喜欢原汁原味的参看下方网址,不喜欢英文的参看本人总结。 官网(权威):https://www.elastic
Elasticsearch分析聚合
Zhangxi
12-22 2382
Elasticsearch不仅仅适合做全文检索,分析聚合功能也很好用。下面通过实例来学习。 一、准备数据 {"index":{ "_index": "books", "_type": "IT", "_id": "1" }} {"id":"1","title":"Java编程思想","language":"java","author":"Bruce Eckel","price":70.20,
ElasticSearch聚合分析
章全蛋的博客
03-20 526
文章目录ElasticSearch 聚合分析简洁什么是聚合(Aggregation)聚合的分类Bucket嵌套Metric (运算) ElasticSearch 聚合分析简洁 什么是聚合(Aggregation) ElasticSearch 除了搜索意外,提供的针对 ES 数据进行统计分析的功能 实时性高,Hadoop (有可能T+1) 通过聚合,我们会得到一个数据的概览,是分析和总结全套...
4.elasticsearch聚合分析
PacosonSWJTU的博客
10-07 790
聚合提供了从数据中分组和提取数据的能力。最简单的聚合方法类似于 group by 和 sql 聚合函数了;在es中,搜索结果返回 hits(命中结果),并且同时返回聚合结果;可以执行查询和多个聚合,并且在一次请求中得到各自的结果;
Elasticsearch聚合分析()——Metric聚合分析 2021/5/25
LiGuanLink的博客
05-25 729
Elasticsearch聚合分析 什么是聚合分析 简介: 聚合分析,英文为Aggregation,是es除搜索功能外提供的针对es数据做统计分析的功能 ES提供多种分析方式: Bucket、Metric、Pipeline 等 Bucket,分桶类型,类似SQL语法中的group by语法。 Metric,指标分析类型,如计算最大值,最小值,平均值等等。 Pipeline,管道分析类型,基于上一级的聚合分析结果进行再分析。 Matrix,矩阵分析类型。 Metric聚合分析 Metric分析分类 1
elasticsearch aggregations_Elasticsearch
weixin_39921023的博客
11-30 177
本文主要研究Elasticsearch,参考文章 Get Started Elasticsearch is a highly scalable open-source full-text search and analytics engine. It allows you to store, search, and analyze big volumes of data quickly and i...
ElasticSearch入门】7、Elasticsearch聚合分析
Zangjiji的博客
06-01 466
Kibana 可视化报表 就是基于 Aggregation实现。集合的分类一些例子ES 提供了许多的类型的 Bucket,帮助用多种方式划分文档Metric 会基于数据集计算结果,除了支持在字段上进行计算,同样也支持在脚本(painless script)产生的结果之上进行计算大多数 Metric 是数学计算,仅输出一个值部分 metric 支持输出多个数值将航班目的地分桶统计 查看航班目的地的统计信息,增加平均,最高最低价格查看航班目的地统计信息,平均票价和天气情况
Elasticsearch-11.Elasticsearch聚合分析简介
飘然渡沧海的博客
04-08 768
Elasticsearch 什么是聚合(Aggregation) 什么是聚合(Aggregation) Elasticsearch 除搜索以外,提供的针对ES数据进行统计分析的功能 + 实时性高. + Hadoop (T+1) 通过聚合, 我们会得到一个数据的概览,是分析和总结全套的数据,而不是寻找单个文档 尖沙咀和香港岛的客房数量 不同的价格区间,可预定的经济型酒店和五星级酒店的数量 高性能,只需要一条语句,就可以从Elasticsearch得到分析结果 无需在客户端自己去实
Elasticsearch聚合分析与Java集成详解
资源摘要信息:"Elasticsearch聚合分析与Java集成是一门结合了大数据搜索技术与主流编程语言的综合性技术实践,文档系统地介绍了如何利用Elasticsearch强大的聚合功能进行数据挖掘和统计分析,并通过Java语言实现高效...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值