No estoy pudiendo encontrar la solucion para algo que parece simple. Estoy traduciendo una busqueda de splunk que hace lo siguiente
| bucket _time span=1s | stats count by _time marca operacion | stats min(count) as min,
max(count) as max by marca operacion
Pero al haber dos "by", que seria similar a un group by, no puedo obtener el average minimo por operacion por marca. Esto se ejecuta en un lapso de 5 minutos. De momento mis aggregations lucen asi
Las agregaciones pueden ser en paralelo o hacia adentro. Entonces asi como tps y marca estan en paralelo, a dentro de marca podrias poner dos agregaciones.
De todas maneras estas bien rumbeado. bucket_time es Date Histogram, stats count es Terms, y luego min y max serian dos Terms con size 1, pero uno sort ascendente y el otro descendente. Entonces ahi podrias encontrar el maximo y minimo para esa operación si es que entiendo bien lo que estabas haciendo en splunk.
Gracias por tu respuesta. Lo resolvi de esta manera. Pero como me comentas esto del order no se si esta bien mi solucion!, Me podes decir si ves algo raro?, son mas las cosas q necesito mas alla de min y max, como average y percentiles 50, 90 y 99
Creo que aqui tienes que poner el exists como root del aggregation, y luego hacer el terms aggregation por marca. Tener en cuenta que aqui estarias encontrando el minimo y maximo de los top 100 documentos no de todo tu data set. Pero me parece que esto esta correcto tambien!
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant
logo are trademarks of the
Apache Software Foundation
in the United States and/or other countries.