Elasticsearch 그룹 별 필드

Question

는 좀 오징어 데이터를 아래와 같이있다 :

{"requestresultcode": "TCP_MISS/200"}, 
{"requestresultcode": "TCP_MISS/200"}, 
{"requestresultcode": "TCP_MISS/302"}, 
{"requestresultcode": "TCP_MISS/504"}, 
{"requestresultcode": "TCP_MISS/200"}, 
{"requestresultcode": "ERR_CLIENT_ABORT/000"}, 
{"requestresultcode": "ERR_CLIENT_ABORT/200"}, 
{"requestresultcode": "ERR_CLIENT_ABORT/302"}, 
{"requestresultcode": "ERR_CLIENT_ABORT/502"}, 
{"requestresultcode": "ERR_CONNECT_FAIL/502"} 

내가 필드로 그룹화 할, 그래서 그것을

{ 
    "aggs": { 
    "agg1": { 
     "terms": { 
     "field": "cacheresultcode" 
     } 
    } 
    } 
} 

나는 결과를 얻었다을 할 집계 용어를 사용 : 그것은 사용 SQL 사이에 약간의 차이가

"aggregations": { 
    "agg1": { 
     "doc_count_error_upper_bound": 0, 
     "sum_other_doc_count": 0, 
     "buckets": [ 
     { 
      "key": "200", 
      "doc_count": 2011 
     }, 
     { 
      "key": "tcp_miss", 
      "doc_count": 1740 
     }, 
     { 
      "key": "err_client_abort", 
      "doc_count": 705 
     }, 
     { 
      "key": "302", 
      "doc_count": 244 
     }, 
     { 
      "key": "000", 
      "doc_count": 185 
     }, 
     { 
      "key": "502", 
      "doc_count": 24 
     }, 
     { 
      "key": "err_connect_fail", 
      "doc_count": 23 
     }, 
     { 
      "key": "504", 
      "doc_count": 4 
     } 
     ] 
    } 
    } 

, 나는 그것이

처럼해야한다고 생각 5,

• ERR_CLIENT_ABORT/000
• ERR_CLIENT_ABORT/200
• ERR_CLIENT_ABORT/302
• ERR_CLIENT_ABORT/502
• ERR_CONNECT_FAIL/502
• TCP_MISS/200
• TCP_MISS/302
• TCP_MISS/504

어떻게해야합니까?
도움 주셔서 감사합니다.

Answer 1

분석 된 필드를 다른 어딘가에서 사용하는 경우 multifields을 사용하면 cacheresultcode에 대한 키워드 유형을 사용할 수 있습니다.

매핑

{ 
    "mappings": { 
    "document_type" : { 
     "properties": { 
     "cacheresultcode":{ 
      "type": "text", 
      "fields": { 
      "keyword" : { 
       "type": "keyword" 
      } 
      } 
     } 
     } 
    } 
    } 
} 

쿼리이 도움이

{ 
    "aggs": { 
    "agg1": { 
     "terms": { 
     "field": "cacheresultcode.keyword" 
     } 
    } 
    } 
} 

희망.