Elasticsearch 分组聚合查询(bucket) --- 2022-04-03

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Elasticsearch 分组聚合查询(bucket) --- 2022-04-03相关的知识,希望对你有一定的参考价值。

参考技术A Elasticsearch桶聚合,目的就是数据分组,先将数据按指定的条件分成多个组,然后对每一个组进行统计。 组的概念跟桶是等同的,在ES中统一使用桶(bucket)这个术语。

ES桶聚合的作用跟SQL的group by的作用是一样的,区别是ES支持更加强大的数据分组能力,SQL只能根据字段的唯一值进行分组,分组的数量跟字段的唯一值的数量相等,例如: group by 店铺id, 去掉重复的店铺ID后,有多少个店铺就有多少个分组。

ES常用的桶聚合如下:

Terms聚合 - 类似SQL的group by,根据字段唯一值分组
Histogram聚合 - 根据数值间隔分组,例如: 价格按100间隔分组,0、100、200、300等等
Date histogram聚合 - 根据时间间隔分组,例如:按月、按天、按小时分组
Range聚合 - 按数值范围分组,例如: 0-150一组,150-200一组,200-500一组。
提示:桶聚合一般不单独使用,都是配合指标聚合一起使用,对数据分组之后肯定要统计桶内数据,在ES中如果没有明确指定指标聚合,默认使用Value Count指标聚合,统计桶内文档总数。

1.Terms聚合
terms聚合的作用跟SQL中group by作用一样,都是根据字段唯一值对数据进行分组(分桶),字段值相等的文档都分到同一个桶内。

例子:

等价SQL:

返回结果:

2.Histogram聚合
histogram(直方图)聚合,主要根据数值间隔分组,使用histogram聚合分桶统计结果,通常用在绘制条形图报表。

例子:

返回结果:

3.Date histogram聚合
类似histogram聚合,区别是Date histogram可以很好的处理时间类型字段,主要用于根据时间、日期分桶的场景。

例子:

返回结果:

4.Range聚合
range聚合,按数值范围分桶。

例子:

返回结果:

大家仔细观察的话,发现range分桶,默认key的值不太友好,尤其开发的时候,不知道key长什么样子,处理起来比较麻烦,我们可以为每一个分桶指定一个有意义的名字。

例子:

5.综合例子
前面的例子,都是单独使用aggs聚合语句,代表直接统计所有的文档,实际应用中,经常需要配合query语句,先搜索目标文档,然后使用aggs聚合语句对搜索结果进行统计分析。

例子:

聚合查询支持多层嵌套。

ElasticSearch_07_ES聚合aggregations运算

系列文章目录

文章目录


前言

ES的操作

1、索引和映射的crud操作
2、文档document的crud操作
3、aggregations聚合运算(桶bucket和度量metrics)

本文的es操作语句:https://www.syjshare.com/res/1AMX91MT

一、聚合操作

ES聚合就是对数据统计分析,聚合可以让我们极其方便的实现对数据的统计、分析。例如:

什么品牌的手机最受欢迎?
这些手机的平均价格、最高价格、最低价格?
这些手机每月的销售情况如何?

ES实现这些统计功能的比数据库的sql要方便的多,而且查询速度非常快,可以实现实时搜索效果。

二、ES聚合操作的两个概念

Elasticsearch中的聚合,涉及两个概念:一个叫,一个叫度量

桶(bucket)就是分组

桶的作用,是按照某种方式对数据进行分组,每一组数据在ES中称为一个,例如我们根据国籍对人划分,可以得到中国桶英国桶日本桶……或者我们按照年龄段对人进行划分:
0 ~ 10,10 ~ 20,20 ~ 30,30 ~ 40等。

Elasticsearch中提供的划分桶的方式有很多:
Date Histogram Aggregation:根据日期阶梯分组,例如给定阶梯为周,会自动每周分为一组
Histogram Aggregation:根据数值阶梯分组,与日期类似
Terms Aggregation:根据词条内容分组,词条内容完全匹配的为一组
Range Aggregation:数值和日期的范围分组,指定开始和结束,然后按段分组

综上所述,我们发现bucket aggregations 只负责对数据进行分组,并不进行计算,因此往往bucket中往往会嵌套另一种聚合:metrics aggregations即度量

度量(metrics)就是分组之后的计算

分组完成以后,我们一般会对组中的数据进行聚合运算,例如求平均值、最大、最小、求和等,这些在ES中称为度量

比较常用的一些度量聚合方式:
Avg Aggregation:求平均值
Max Aggregation:求最大值
Min Aggregation:求最小值
Percentiles Aggregation:求百分比
Stats Aggregation:同时返回avg、max、min、sum、count等
Sum Aggregation:求和
Top hits Aggregation:求前几
Value Count Aggregation:求总数

小结:分组 terms关键字 + “field”: “xxx”
聚合 avg/max/min关键字 + “field”: “xxx”

为了测试聚合,我们先批量导入一些数据

创建索引:

PUT /cars

  "settings": 
    "number_of_shards": 1,
    "number_of_replicas": 0
  ,
  "mappings": 
    "transactions": 
      "properties": 
        "color": 
          "type": "keyword"
        ,
        "make": 
          "type": "keyword"
        
      
    
  

注意:在ES中,需要进行聚合、排序、过滤的字段其处理方式比较特殊,因此不能被分词。这里我们将color和make这两个文字类型的字段设置为keyword类型,这个类型不会被分词,将来就可以参与聚合

导入数据,通过 bulk 导入,批量操作,可以加快速度,如下:

POST /cars/transactions/_bulk
 "index": 
 "price" : 10000, "color" : "red", "make" : "honda", "sold" : "2014-10-28" 
 "index": 
 "price" : 20000, "color" : "red", "make" : "honda", "sold" : "2014-11-05" 
 "index": 
 "price" : 30000, "color" : "green", "make" : "ford", "sold" : "2014-05-18" 
 "index": 
 "price" : 15000, "color" : "blue", "make" : "toyota", "sold" : "2014-07-02" 
 "index": 
 "price" : 12000, "color" : "green", "make" : "toyota", "sold" : "2014-08-19" 
 "index": 
 "price" : 20000, "color" : "red", "make" : "honda", "sold" : "2014-11-05" 
 "index": 
 "price" : 80000, "color" : "red", "make" : "bmw", "sold" : "2014-01-01" 
 "index": 
 "price" : 25000, "color" : "blue", "make" : "ford", "sold" : "2014-02-12" 

三、聚合为桶(桶分组)

首先,我们按照 汽车的颜色color来划分

GET /cars/_search

    "size" : 0,
    "aggs" :  
        "popular_colors" :  
            "terms" :  
              "field" : "color"
            
        
    

  • size: 查询条数,这里设置为0,因为我们不关心搜索到的数据,只关心聚合结果,提高效率
  • aggs:声明这是一个聚合查询,是aggregations的缩写
    • popular_colors:给这次聚合起一个名字,任意。
      • terms:划分桶的方式,这里是根据词条划分
        • field:划分桶的字段

结果:


  "took" : 1,
  "timed_out" : false,
  "_shards" : 
    "total" : 1,
    "successful" : 1,
    "skipped" : 0,
    "failed" : 0
  ,
  "hits" : 
    "total" : 8,
    "max_score" : 0.0,
    "hits" : [ ]
  ,
  "aggregations" : 
    "popular_colors" : 
      "doc_count_error_upper_bound" : 0,
      "sum_other_doc_count" : 0,
      "buckets" : [
        
          "key" : "red",
          "doc_count" : 4
        ,
        
          "key" : "blue",
          "doc_count" : 2
        ,
        
          "key" : "green",
          "doc_count" : 2
        
      ]
    
  

  • hits:查询结果为空,因为我们设置了size为0
  • aggregations:聚合的结果
  • popular_colors:我们定义的聚合名称
  • buckets:查找到的桶,每个不同的color字段值都会形成一个桶
    • key:这个桶对应的color字段的值
    • doc_count:这个桶中的文档数量

通过聚合的结果我们发现,目前红色的小车比较畅销!

四、桶内度量(度量计算)

前面的例子告诉我们每个桶里面的文档数量,这很有用。 但通常,我们的应用需要提供更复杂的文档度量。 例如,每种颜色汽车的平均价格是多少?

因此,我们需要告诉Elasticsearch使用哪个字段使用何种度量方式进行运算,这些信息要嵌套在内,度量的运算会基于内的文档进行

现在,我们为刚刚的聚合结果添加 求价格平均值的度量:

GET /cars/_search

    "size" : 0,
    "aggs" :  
        "popular_colors" :  
            "terms" :  
              "field" : "color"
            ,
            "aggs":
                "avg_price":  
                   "avg": 
                      "field": "price" 
                   
                
            
        
    

  • aggs:我们在上一个aggs(popular_colors)中添加新的aggs。可见度量也是一个聚合,度量是在桶内的聚合
  • avg_price:聚合的名称
  • avg:度量的类型,这里是求平均值
  • field:度量运算的字段

结果:

...
  "aggregations": 
    "popular_colors": 
      "doc_count_error_upper_bound": 0,
      "sum_other_doc_count": 0,
      "buckets": [
        
          "key": "red",
          "doc_count": 4,
          "avg_price": 
            "value": 32500
          
        ,
        
          "key": "blue",
          "doc_count": 2,
          "avg_price": 
            "value": 20000
          
        ,
        
          "key": "green",
          "doc_count": 2,
          "avg_price": 
            "value": 21000
          
        
      ]
    
  
...

可以看到每个桶中都有自己的avg_price字段,这是度量聚合的结果

五、桶内嵌套桶

刚刚的案例中,我们在桶内嵌套度量运算。事实上桶不仅可以嵌套运算, 还可以再嵌套其它桶。也就是说在每个分组中,再分更多组。

需求:我们想统计每种颜色的汽车中,分别属于哪个制造商,按照make字段再进行分桶

GET /cars/_search

    "size" : 0,
    "aggs" :  
        "popular_colors" :  
            "terms" :  
              "field" : "color"
            ,
            "aggs":
                "avg_price":  
                   "avg": 
                      "field": "price" 
                   
                ,
                "maker":
                    "terms":
                        "field":"make"
                    
                
            
        
    

  • 原来的color桶和avg计算我们不变
  • maker:在嵌套的aggs下新添一个桶,叫做maker
  • terms:桶的划分类型依然是词条
  • filed:这里根据make字段进行划分

部分结果:

...
"aggregations": 
    "popular_colors": 
      "doc_count_error_upper_bound": 0,
      "sum_other_doc_count": 0,
      "buckets": [
        
          "key": "red",
          "doc_count": 4,
          "maker": 
            "doc_count_error_upper_bound": 0,
            "sum_other_doc_count": 0,
            "buckets": [
              
                "key": "honda",
                "doc_count": 3
              ,
              
                "key": "bmw",
                "doc_count": 1
              
            ]
          ,
          "avg_price": 
            "value": 32500
          
        ,
        
          "key": "blue",
          "doc_count": 2,
          "maker": 
            "doc_count_error_upper_bound": 0,
            "sum_other_doc_count": 0,
            "buckets": [
              
                "key": "ford",
                "doc_count": 1
              ,
              
                "key": "toyota",
                "doc_count": 1
              
            ]
          ,
          "avg_price": 
            "value": 20000
          
        ,
        
          "key": "green",
          "doc_count": 2,
          "maker": 
            "doc_count_error_upper_bound": 0,
            "sum_other_doc_count": 0,
            "buckets": [
              
                "key": "ford",
                "doc_count": 1
              ,
              
                "key": "toyota",
                "doc_count": 1
              
            ]
          ,
          "avg_price": 
            "value": 21000
          
        
      ]
    
  

...
  • 我们可以看到,新的聚合maker被嵌套在原来每一个color的桶中。
  • 每个颜色下面都根据 make字段进行了分组
  • 我们能读取到的信息:
    • 红色车共有4辆
    • 红色车的平均售价是 $32,500 美元。
    • 其中3辆是 Honda 本田制造,1辆是 BMW 宝马制造。

六、划分桶的其它方式

前面讲了,划分桶的方式有很多,例如:

  • Date Histogram Aggregation:根据日期阶梯分组,例如给定阶梯为周,会自动每周分为一组
  • Histogram Aggregation:根据数值阶梯分组,与日期类似
  • Terms Aggregation:根据词条内容分组,词条内容完全匹配的为一组
  • Range Aggregation:数值和日期的范围分组,指定开始和结束,然后按段分组

刚刚的案例中,我们采用的是Terms Aggregation,即根据词条划分桶。

接下来,我们再学习几个比较实用的:

6.1 阶梯分桶Histogram

histogram是把数值类型的字段,按照一定的阶梯大小进行分组。你需要指定一个阶梯值(interval)来划分阶梯大小。

举例:比如你有价格字段,如果你设定interval的值为200,那么阶梯就会是这样的:

0,200,400,600,…

上面列出的是每个阶梯的key,也是区间的启点。

如果一件商品的价格是450,会落入哪个阶梯区间呢?计算公式如下:

bucket_key = Math.floor((value - offset) / interval) * interval + offset

value:就是当前数据的值,本例中是450
offset:起始偏移量,默认为0
interval:阶梯间隔,比如200

因此你得到的key = Math.floor((450 - 0) / 200) * 200 + 0 = 400

操作一下:比如,我们对汽车的价格进行分组,指定间隔interval为5000:

GET /cars/_search

  "size":0,
  "aggs":
    "price":
      "histogram": 
        "field": "price",
        "interval": 5000
      
    
  

结果:


  "took": 21,
  "timed_out": false,
  "_shards": 
    "total": 5,
    "successful": 5,
    "skipped": 0,
    "failed": 0
  ,
  "hits": 
    "total": 8,
    "max_score": 0,
    "hits": []
  ,
  "aggregations": 
    "price": 
      "buckets": [
        
          "key": 10000,
          "doc_count": 2
        ,
        
          "key": 15000,
          "doc_count": 1
        ,
        
          "key": 20000,
          "doc_count": 2
        ,
        
          "key": 25000,
          "doc_count": 1
        ,
        
          "key": 30000,
          "doc_count": 1
        ,
        
          "key": 35000,
          "doc_count": 0
        ,
        
          "key": 40000,
          "doc_count": 0
        ,
        
          "key": 45000,
          "doc_count": 0
        ,
        
          "key": 50000,
          "doc_count": 0
        ,
        
          "key": 55000,
          "doc_count": 0
        ,
        
          "key": 60000,
          "doc_count": 0
        ,
        
          "key": 65000,
          "doc_count": 0
        ,
        
          "key": 70000,
          "doc_count": 0
        ,
        
          "key": 75000,
          "doc_count": 0
        ,
        
          "key": 80000,
          "doc_count": 1
        
      ]
    
  

你会发现,中间有大量的文档数量为0 的桶,看起来很丑。我们可以增加一个参数min_doc_count为1,来约束最少文档数量为1,这样文档数量为0的桶会被过滤

示例:

GET /cars/_search

  "size":0,
  "aggs":
    "price":
      "histogram": 
        "field": "price",
        "interval": 5000,
        "min_doc_count": 1
      
    
  

结果:


  "took": 15,
  "timed_out": false,
  "_shards": 
    "total": 5,
    "successful": 5,
    "skipped": 0,
    "failed": 0
  ,
  "hits": 
    "total": 8,
    "max_score": 0,
    "hits": []
  ,
  "aggregations": 
    "price": 
      "buckets": [
        
          "key": 10000,
          "doc_count": 2
        ,
        
          "key": 15000,
          "doc_count": 1
        ,
        
          "key": 20000,
          "doc_count": 2
        ,
        
          "key": 25000,
          "doc_count": 1
        ,
        
          "key": 30000,
          "doc_count": 1
        ,
        
          "key": 80000,
          "doc_count": 1
        
      ]
    
  

完美!

6.2 范围分桶range

范围分桶与阶梯分桶类似,也是把数字按照阶段进行分组,只不过range方式需要你自己指定每一组的起始和结束大小。

总结

ES的聚合的构成就是 创建桶+桶内聚合 ,只需要熟练使用各种 创建桶 和 度量聚合 的方式。

Elasticsearch中提供的划分桶的方式有很多:
Date Histogram Aggregation:根据日期阶梯分组,例如给定阶梯为周,会自动每周分为一组
Histogram Agg

以上是关于Elasticsearch 分组聚合查询(bucket) --- 2022-04-03的主要内容,如果未能解决你的问题,请参考以下文章

ElasticSearch_07_ES聚合aggregations运算

ElasticSearch_07_ES聚合aggregations运算

ElasticSearch_07_ES聚合aggregations运算

java使用elasticsearch分组进行聚合查询(group by)

Elasticsearch聚合查询

c# ElasticSearch NEST 聚合:分组