Question

У меня 2 рабочих запроса elk:

GET _search
{
  "query": {
    "range":{
      "timestamp":{
        "gt": "now-15m"
      }
    }
  }
}

и

GET _search
{
  "query": {
    "bool" : {
      "must" : {
        "match" : { "tags" : "mytag" }
      }
    }
  }
}

Как я могу объединить эти 2 запроса?По сути, я хочу получить все документы за последние 15 минут с тегом, равным «mytag»

Green · Answer 1 · 10 октября 2018

Вам нужно объединить их обоих, используя must и filter.Когда первый даст вам tags, который вам нужен, и второй фильтр для данного временного диапазона.(Кстати, я продолжил с вашей схемой, но я помню, вы должны выглядеть timestamp с @timestamp)

GET _search
{
  "query": {
    "bool" : {
      "must" : {
        "match" : { "tags" : "mytag" }
      },
     "filter": 
        {
          "range": {
            "timestamp": {
               "gt": "now-15m"
            }
          }
        }
    }
  }
}

Elasticsearch api объединить диапазон и теги

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Elasticsearch api объединить диапазон и теги

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов