如何在Kibana Elasticsearch/opensearch查询DSL中计算聚合字段？

lstz6jyr 于 2022-12-03 发布在 ElasticSearch

关注(0)|答案(2)|浏览(217)

我正在使用Kibana查看Opensearch索引，其中包含以下对象：
第一个
我想计算具有事件“login”的唯一client_id;因此使用上面的数据，计数将为2。
我可以使用AWS的Kibana界面，通过查询DSL来计算与“login”匹配的事件：

{
  "query": {
    "match": {
      "event": "login"
    }
  }
}

......工作正常，并产生计数3。
但是，当我尝试根据各种文档构建聚合时，例如：

{
  "size": 0,
  "aggs": {
    "client_count": {
      "cardinality": {
        "field": "client_id"
      }
    }
  }
}

...我得到一个SearchError: Internal Server Error。
我已经尝试了各种不同的方法，例如，下面的方法可以正常工作，不会出现错误：

{
  "size": 0,
  "query": {
    "match": {
      "event": "login"
    }
  },
  "aggs": {
    "client_count": {
      "cardinality": {
        "field": "client_id",
        "size": 0
      }
    }
  }
}

...但是，它实际上似乎并不报告唯一client_id的计数，它只是生成与上面的第一个查询完全相同的结果（匹配所有“login”事件）。
聚合类型“基数”、“术语”和“全局”似乎都产生相同的错误。
你知道我应该用什么语法吗？
附言：我看了大约30个其他的ElasticSearch查询问题，但似乎没有一个回答这个问题
我不能用这样的语法

GET /my_index_here/_search
{
...

因为Kibana接口中不允许这样做：

elasticsearch

来源：https://stackoverflow.com/questions/74617711/how-to-count-aggregated-fields-in-kibana-elasticsearch-opensearch-query-dsl

2条答案

按热度按时间

2eafrhcq1#

您的查询看起来不错。因此，您的问题与如何查询数据有关，而与查询本身无关。
这是循序渐进的：

Map：

PUT test_cardinality
{
  "mappings": {
    "properties": {
      "client_id": {
        "type": "keyword"
      },
      "event": {
        "type": "keyword"
      }
    }
  }
}

文件：

POST test_cardinality/_doc
{
  "client_id": "61c9aebdd01d",
  "event": "login"
}

POST test_cardinality/_doc
{
  "client_id": "287a5ef458db",
  "event": "login"
}

查询

GET test_cardinality/_search
{
  "size": 0,
  "aggs": {
    "client_count": {
      "cardinality": {
        "field": "client_id"
      }
    }
  }
}

结果：

{
  "took" : 11,
  "timed_out" : false,
  "_shards" : {
    "total" : 1,
    "successful" : 1,
    "skipped" : 0,
    "failed" : 0
  },
  "hits" : {
    "total" : {
      "value" : 2,
      "relation" : "eq"
    },
    "max_score" : null,
    "hits" : [ ]
  },
  "aggregations" : {
    "client_count" : {
      "value" : 2
    }
  }
}

赞(0）回复(0）举报 2022-12-03

2j4z5cfb2#

答案是：
1.使用Kibana中的Dev Tools接口，而不是Discover接口，Discover接口似乎不适用于某些查询，原因我不明白（也许结果对象不适用于默认的可视化？）
1.完整查询代码：

GET /MY-INDEX-HERE/_search
{
  "size": 0,
  "query": {
    "match": {
      "event": "login"
    }
  },
  "aggs": {
    "client_count": {
      "cardinality": {
        "field": "client_id"
      }
    }
  }
}

仅供参考，我最终使用了以下代码，以隔离特定时期（2019年全年）：

GET /MY-INDEX-HERE/_search
{
  "size": 0,
  "query": {
    "bool": {
      "must": [
        {
          "range": {
            "timestamp": {
              "gte": "1546300800000",
              "lt": "1577836800000"
            }
          }
        },
        {
          "match": {
            "event": "login"
          }
        }
      ]
    }
  },
  "aggs": {
    "client_count": {
      "cardinality": {
        "field": "client_id"
      }
    }
  }
}

赞(0）回复(0）举报 2022-12-03

我来回答

如何在Kibana Elasticsearch/opensearch查询DSL中计算聚合字段？

2条答案

相关问题

热门标签

最新问答