在一层聚合中设置聚合排序sort_time
二层聚合中:
- 定义排序值来源
sort_time取max的updated_at。 ip_detail与sort_time同级,取un_ip的聚合中的详情。
{
"size": 0,
"aggs": {
"un_ip": {
"terms": {
"field": "ip",
"order": {
"sort_time": "desc"
}
},
"aggs": {
"sort_time": {
"max": {
"field": "updated_at"
}
},
"ip_detail": {
"top_hits": {
"_source": {
"includes": [
"country",
"province",
"city",
"os_type"
]
},
"size":1
}
}
}
}
}
}