Elasticsearch 在不同时间范围内多次聚合
我试图按查询中给出的时间范围的每一半聚合一个字段。例如,以下是查询:
{
"query": {
"simple_query_string": {
"query": "+sitetype:(redacted) +sort_date:[now-2h TO now]"
}
}
}
...我想聚合从 now-2h 到 now-1h 的术语“product1.keyword”,并聚合从 now-1h 到现在的同一术语“product1.keyword”,就像:
"terms": {
"field": "product1",
"size": 10,
}
^ 在 now-2h 到 now-1h 内汇总产品 1 的前 10 个结果, 并汇总现在至现在 1 小时内产品 1 的前 10 个结果。
澄清:product1 不是与日期或时间相关的字段。它就像一种汽车、电话等。
I'm trying to aggregate a field by each half of the time-range given in the query. For example, here's the query:
{
"query": {
"simple_query_string": {
"query": "+sitetype:(redacted) +sort_date:[now-2h TO now]"
}
}
}
...and I want to aggregate on term "product1.keyword" from now-2h to now-1h and aggregate on the same term "product1.keyword" from now-1h to now, so like:
"terms": {
"field": "product1",
"size": 10,
}
^ aggregate the top 10 results on product1 in now-2h TO now-1h,
and aggregate the top 10 results on product1 in now-1h TO now.
Clarification: product1 is not a date or time-related field. It would be like a type of car, phone, etc.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
如果你想在查询中使用
now,你必须将product1字段设置为date类型,那么你可以尝试如下:如果你不能改变product1的类型,你可以尝试 rang agg,但是必须显式地写出时间,而不是使用
nowif you want use
nowin your query,you must make product1 field asdatetype,then you can try as below:and if you can't change product1's type ,you can try rang agg,but you must write the time explicitly instead of using
now