ES, как рефакторинг запросов с объединением, как? - PullRequest
Новая
       0

ES, как рефакторинг запросов с объединением, как?

0 голосов
/ 09 января 2020

Я создал 2 запроса в elasti c search: 

 GET poc-2020.01.09/_search
{   
 "size": 1000,
"query": {
    "wildcard": {
        "message": {
            "value": "got*",                         <-------------
            "boost": 1.0,
            "rewrite": "constant_score"
        }
    }
}

}

возвращает: 

   {
    "_index": "poc-2020.01.09",
    "_type": "doc",
    "_id": "YicNiG8BsW6Znkt6BLuc",
    "_score": 1,
    "_source": {
      "offset": 618993630,
      "node.tag": "taskmanager",
      "logfile.name": "app-taskmanager-1-94hhg.log",
      "logtype": "app",
      "beat": {
        "version": "6.3.2",
        "hostname": "infra",
        "name": "infra"
      },
      "@version": "1",
      "type": "beats",
      "tags": [
        "beats_input_codec_plain_applied"
      ],
      "@timestamp": "2020-01-09T02:05:51.251Z",
      "source": "/nfsdata/ecs/log/app-taskmanager-1-94hhg.log",
      "message": """2020-01-09 02:04:39,825 INFO  Utils - got OOO: XYZ:912828YZ7 Metrics:[] """,
      "app.tag": "flink-app-treasury-enriched-position",
      "env": "DEV",
      "host": {
        "name": "infra-elkagent-29-xhx2x"
      }
    }
  },

(получено возвращено Сообщения OOO в этом примере: с XYZ: 912828YZ7)

И запрос 

 GET gsp.datasphere.flink.poc-2020.01.09/_search
 {
 "size": 10,
 "query": {
    "wildcard": {
        "message": {
            "value": "outputing*",
            "boost": 1.0,
            "rewrite": "constant_score"
        }
    }
}

}

возвращает: 

"hits": {
"total": 104605,
"max_score": 1,
"hits": [
  {
    "_index": "poc-2020.01.09",
    "_type": "doc",
    "_id": "3wfYh28BsW6Znkt67Sho",
    "_score": 1,
    "_source": {
      "offset": 617979882,
      "node.tag": "taskmanager",
      "logfile.name": "app-taskmanager-1-94hhg.log",
      "logtype": "app",
      "beat": {
        "version": "6.3.2",
        "hostname": "infra-elkagent-29-xhx2x",
        "name": "infra-elkagent-29-xhx2x"
      },
      "@version": "1",
      "type": "beats",
      "tags": [
        "beats_input_codec_plain_applied"
      ],
      "@timestamp": "2020-01-09T01:08:56.220Z",
      "source": "/nfsdata/ecs/log/app-taskmanager-1-94hhg.log",
      "message": "2020-01-09 01:07:34,011 INFO  Function  - Outputing gotoSchool: XYZ:912828YZ7",
      "app.tag": "app-trx",
      "env": "DEV",
      "host": {
        "name": "infra"
      }
    }
  },

(в этом примере возвращаются сообщения gotoSchool: with: XYZ: 912828YZ7)

обратите внимание, что для каждого сообщения gotoSchool имеется много сообщений OOO.

что мне действительно нужно это запрос, который может объединиться между ними. (по значению - XYZ: 912828YZ7 - число после «XYZ:» является значением объединения.

(поэтому для каждого родителя, чтобы вернуть себя со своими потомками).

Вы можете помочь ?

спасибо.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...