У меня есть агрегированный запрос, который я выполняю в Elasticsearch.Результаты выглядят хорошо, однако я хочу добавить пост-фильтр, возвращая только результаты с числом больше 100. Вот запрос:
GET /_search
{
"size": 0,
"query" :
{
"query_string":
{
"fields" : ["error_message"],
"query" : "login AND failed"
}
},
"aggs":
{
"group_by_id":
{
"terms":
{
"field": "Id",
"size": 1000
},
"aggs":
{
"group_by_date":
{
"date_range":
{
"field": "timestamp",
"ranges":
[
{
"from": "now-6h",
"to": "now"
}
]
}
}
}
}
}
}
Результаты выглядят следующим образом:
{
"key": "12",
"doc_count": 89388,
"group_by_date": {
"buckets": [
{
"key": "2018-09-20T12:48:04.200-2018-09-20T18:48:04.200",
"from": 1537447684200,
"from_as_string": "2018-09-20T12:48:04.200",
"to": 1537469284200,
"to_as_string": "2018-09-20T18:48:04.200",
"doc_count": 50
}
]
}
}
Я бы хотел вернуть результаты только для второго doc_count, который больше 100. Поэтому этот возвращенный пример не будет отображаться.