在messageId.keyword上运行术语聚合不是很好,因为每个消息都是不同的(“
Aweg3AOMTs_1563866656871111111.0.dn”与“ Aweg3AOMTs_1563866656871111.mt”不同)。
通过查看docs结构,我认为您最好
num1对.mt和.dn消息的常见部分运行术语聚合。该聚合将为您提供每个唯一num1的邮件数。因此,对于每条收到请求和响应的消息,计数为2,只有请求的消息的计数为1。
如果您还想查看数字本身,则可以在内部添加一个嵌套的聚合,例如大小为1的热门匹配聚合,它将在其中显示该
num1字段:
GET /my_index3/_search {"size": 0,"aggs": { "num1": { "terms": { "field": "num1", "order": { "_count": "desc" }, "aggs": { "count_of_distinct_suffix": { "cardinality": { "field": "suffix" }, "aggs": { "filter_count_is_2": { "bucket_selector": { "buckets_path": { "the_doc_count": "_count" }, "script": "the_doc_count == 2" } } } } } } } }}
