Я использовал следующий запрос, чтобы получить записи, близкие к отметке времени, и это хорошо работает, пока я не выберу дату, выходящую за пределы того, что я проиндексировал до сих пор.Например.в будущем или в журнале, который я прекратил индексировать несколько недель назад.
# Get log close to date
GET _search
{
"query": {
"function_score": {
"functions": [
{
"linear": {
"@timestamp" : {
"origin": "1520627525000",
"scale": "1d",
"decay": 0.01
}
}
}
],
"score_mode" : "multiply",
"boost_mode": "multiply",
"query": {
"bool": {
"must": [
{ "term": { "prospector.type.keyword": "log" } },
{ "term": { "source.keyword": """e:\program\wd\log.txt""" } },
{ "term": { "host.keyword": "myhost" } }
]
}
}
}
},
"size": 1
}
Тогда я получаю дату обычно в начале того, что я проиндексировал, кто-нибудь знает, как получить лучшие результаты, когда этопроисходит?Или лучший способ найти точку во времени и получить ближайшую запись.
При необходимости, дополнительная информация.