Kibana 数据表嵌套对象计数

Question

我使用的是 Kibana 6.5.1 版。

我的文档如下所示：

第一

{
"id": 12345,
"source": "Github",
"creation_date": "2020-10-14"
"files": [
 {
    "file_id": 444,
    "file_name": "test.png",
    "file_type": "png"
    },
    {
    "file_id": 445,
    "file_name": "test2.pdf",
    "file_type": "pdf"
    },
    {
    "file_id": 446,
    "file_name": "test3.pdf",
    "file_type": "pdf"
  }
]
}

秒

{
"id": 12346,
"source": "stackoverflow",
"creation_date": "2020-10-14"
"files": [
 {
    "file_id": 447,
    "file_name": "example.pdf",
    "file_type": "pdf"
    },
    {
    "file_id": 448,
    "file_name": "anotherOne.pdf",
    "file_type": "pdf"
  }
]
}

等等。

我想创建如下所示的数据表：

file_type | count
------------------
png       | 1
pdf       | 4

所以在左侧我们可以看到 files.file_type，在右侧是所有文档中每个文件的计数。

我尝试设置 files.file_id 的唯一计数和字段聚合的拆分行 files.file_type.keyword

但我得到了这张桌子：

file_type | count
------------------
png       | 3
pdf       | 5

而且看起来不错，如果嵌套的“文件”字段中至少有一个文件与 file_type 匹配，它会计算一个文档中的所有文件。

我怎样才能让它看起来像第一张桌子？指标中的 JSON 输入会有所帮助吗？

Answer 1

您必须将“文件”字段映射为嵌套数据类型才能使其工作。 然后使用嵌套聚合。

示例数据的简单示例：

映射：

PUT test/_mapping
{
  "properties": {
    "files": {
      "type": "nested"
    }
  }
}

查询：

GET test/_search?filter_path=aggregations
{
  "size": 0, 
  "aggs": {
    "files_nested": {
      "nested": {
        "path": "files"
      },
      "aggs": {
        "files_type": { "terms": { "field": "files.file_type.keyword" } }
      }
    }
  }
}

回应：

{
  "aggregations" : {
    "files_nested" : {
      "doc_count" : 5,
      "files_type" : {
        "doc_count_error_upper_bound" : 0,
        "sum_other_doc_count" : 0,
        "buckets" : [
          {
            "key" : "pdf",
            "doc_count" : 4
          },
          {
            "key" : "png",
            "doc_count" : 1
          }
        ]
      }
    }
  }
}