Wiele filtrów i agregat w elastycznej analizie

Question

Jak mogę użyć filtru w połączeniu z agregatem w elastycznym wyszukiwaniu?

Oficjalna dokumentacja podaje jedynie trywialne przykłady dla filter i dla aggregations i brak formalnego opisu zapytania dsl - porównaj np. z postgres documentation.

Poprzez wypróbowanie znalazłem następującą kwerendę, która jest akceptowana przez elasticsearch (parsowanie) bez błędów, ale ignoruje podane filtry:

{ 
    "filter": { 
    "and": [ 
     { 
     "term": { 
      "_type": "logs" 
     } 
     }, 
     { 
     "term": { 
      "dc": "eu-west-12" 
     } 
     }, 
     { 
     "term": { 
      "status": "204" 
     } 
     }, 
     { 
     "range": { 
      "@timestamp": { 
      "from": 1398169707, 
      "to": 1400761707 
      } 
     } 
     } 
    ] 
    }, 
    "size": 0, 
    "aggs": { 
    "time_histo": { 
     "date_histogram": { 
     "field": "@timestamp", 
     "interval": "1h" 
     }, 
     "aggs": { 
     "name": { 
      "percentiles": { 
      "field": "upstream_response_time", 
      "percents": [ 
       98.0 
      ] 
      } 
     } 
     } 
    } 
    } 
} 

Niektórzy sugerują, używając query zamiast filter. Jednak oficjalna dokumentacja ogólnie zaleca the opposite filtrowanie dokładnych wartości. Kolejny problem z query: podczas gdy filtry oferują and, query, nie.

Czy ktoś może wskazać mi dokumentację, blog lub książkę, które opisują pisanie nietrywialnych zapytań: co najmniej jeden agregat plus wiele filtrów.

Answer 1

Umieść filtr w przeglądarce filtered -query.

Najwyższego poziomu filter służy do filtrowania tylko wyników wyszukiwania, a nie aspektów/agregacji. Został przemianowany na post_filter w 1.0 z powodu tego dość powszechnego zamieszania.

Ponadto, warto zajrzeć do tego postu, dlaczego często chcesz użyć bool i nie and/or: http://www.elasticsearch.org/blog/all-about-elasticsearch-filter-bitsets/

Answer 2

skończyło się używając filter aggregation - nie filtrowane zapytania. Teraz mam 3 zagnieżdżone elementy aggs.

Używam również bool filtr zamiast and jako zalecane przez @ alex-brasetvik powodu http://www.elasticsearch.org/blog/all-about-elasticsearch-filter-bitsets/

Moja ostateczna realizacja:

{ 
    "aggs": { 
    "filtered": { 
     "filter": { 
     "bool": { 
      "must": [ 
      { 
       "term": { 
       "_type": "logs" 
       } 
      }, 
      { 
       "term": { 
       "dc": "eu-west-12" 
       } 
      }, 
      { 
       "term": { 
       "status": "204" 
       } 
      }, 
      { 
       "range": { 
       "@timestamp": { 
        "from": 1398176502000, 
        "to": 1400768502000 
       } 
       } 
      } 
      ] 
     } 
     }, 
     "aggs": { 
     "time_histo": { 
      "date_histogram": { 
      "field": "@timestamp", 
      "interval": "1h" 
      }, 
      "aggs": { 
      "name": { 
       "percentiles": { 
       "field": "upstream_response_time", 
       "percents": [ 
        98.0 
       ] 
       } 
      } 
      } 
     } 
     } 
    } 
    }, 
    "size": 0 
} 

Answer 3

więcej na odpowiedź @geekQ „s: wspieranie ciąg filtracyjny spacja char, dla wielowierszowego wyszukiwania termin, użyj poniżej:

{ "aggs": { 
    "aggresults": { 
     "filter": { 
     "bool": { 
      "must": [ 
      { 
       "match_phrase": { 
       "term_1": "some text with space 1" 
       } 
      }, 
      { 
       "match_phrase": { 
       "term_2": "some text with also space 2" 
       } 
      } 
      ] 
     } 
     }, 
     "aggs" : { 
      "all_term_3s" : { 
       "terms" : { 
        "field":"term_3.keyword", 
        "size" : 10000, 
        "order" : { 
         "_term" : "asc" 
        } 
       } 
      } 
     } 
    } }, "size": 0 }