考虑到我在弹性搜索索引中有一组文档(在下面提到的结构中(
{
"xid": "1234567",
"time": "12/5/12 5:49 AM",
"data": [
{
"id": "abc",
"amount": 400
},
{
"id": "def",
"amount": 200
}
]
}
{
"xid": "1234568",
"time": "13/5/12 7:23 AM",
"data": [
{
"id": "abc",
"amount": 400
},
{
"id": "ghi",
"amount": 300
}
]
}
现在在每个文档的数据数组中,我想按 id 分组并找到总和。
对于给定的 2 个文档,解决方案如下所示
{
"id" : "abc",
"total" :800
},
{
"id" : "def",
"total" :200
},
{
"id" : "ghi",
"total" :300
}
请帮助我构建我的请求查询。
我最初的方法是
{
"aggs": {
"group_by_id": {
"terms": {
"field": "data.id.keyword"
},
"aggs": {
"total" : {
"sum": {
"field": "data.amount"
}
}
}
}
}
}
下面给出了上面的查询结果,这不是预期的结果。
{
"id" : "abc",
"total" :1300
},
{
"id" : "def",
"total" :600
},
{
"id" : "ghi",
"total" :700
}
您需要使用嵌套聚合,并且字段data的类型应在映射中声明为嵌套。
否则,Elasticsearch 将具有以下文档视图:
{
"xid": "1234567",
"time": "12/5/12 5:49 AM",
"data.id": ["abc", "def"],
"data.amount": [400, 200]
}
{
"xid": "1234568",
"time": "13/5/12 7:23 AM",
"data.id": ["abc", "ghi"],
"data.amount": [400, 300]
}
data字段的新映射应如下所示:
"data": {
"type": "nested",
"properties": {
"id": {
"type": "keyword"
},
"amount": {
"type": "float"
}
}
}
现在,您可以执行以下聚合:
{
"size": 0,
"aggs": {
"data": {
"nested": {
"path": "data"
},
"aggs": {
"group_by_id": {
"terms": {
"field": "data.id"
},
"aggs": {
"total": {
"sum": {
"field": "data.amount"
}
}
}
}
}
}
}
}
这是您将获得的结果:
"buckets": [
{
"key": "abc",
"doc_count": 2,
"total": {
"value": 800
}
},
{
"key": "def",
"doc_count": 1,
"total": {
"value": 200
}
},
{
"key": "ghi",
"doc_count": 1,
"total": {
"value": 300
}
}
]