代码之家 › 专栏 › 技术社区 › Arkon

Elasticsearch:从查询匹配中计算文档数

elasticsearch-aggregation elastic-stack kibana elasticsearch

Arkon · 技术社区 · 6 年前

我想得到在一个时间范围内与特定字符串匹配的文档数。

如何在此查询中指定时间范围?

GET myindex/_count
{
  "query": {
            "match" : {
            "log" : "ERROR"
        }
  }
}

要获取时间范围:

{
  "query": {
    "range": {
      "msgSubmissionTime": {
        "gte": "now-10m",
        "lt": "now"
      }
    }
  }
}

有没有一种方法可以合并这两个查询?

3 回复 | 直到 6 年前

Green Moshe 6 年前

我上面的人是对的,但他们都加了多余的 [ , ] 对于 must 这意味着在匹配字段上查询超过。

GET _search
{
  "query": {
    "bool" : {
      "must" : {
        "match" : {  "log": "ERROR" }
      },
     "filter": 
        {
          "range": {
            "msgSubmissionTime": {
               "gte": "now-10m",
               "lte": "now"
            }
          }
        }
    }
  }
}

Alex Baidan 6 年前

当然可以。它可以通过两种方式完成:过滤和布尔查询。

Elastic建议使用过滤器对结果进行预过滤—它们比查询更快。

在官方的弹性文件中,你可以找到几乎符合你的问题的例子- elasticsearch documentation

{
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "log": "ERROR"
          }
        }
      ],
      "filter": {
        "range": {
          "msgSubmissionTime": {
            "gte": "now-10m",
            "lte": "now"
          }
        }
      }
    }
  }
}

Ashwani Shakya 6 年前

试试这个。

{
  "query": {
    "bool": {
      "filter": {
        "range": {
          "msgSubmissionTime": {
            "gte": "now-10m",
            "lt": "now"
          }
        }
      },
      "must": [
        {
          "term": {
            "log" : "ERROR"
          }
        }
      ]
    }
  }
}

推荐文章

user8402764 · 如何在Kibana中可视化数组字段中所有值的计数

7 年前

bob9123 · 为什么状态和索引中的文档计数不同?

7 年前

Ramy Feteha · 橙色Liveobjects-数据选项卡>Kibana按钮始终给予403权限被拒绝错误

7 年前

Suresh AK · 使用新的键值对更新弹性搜索数据

7 年前

user9126208 · 在Ubuntu 17.10上设置Kibana

7 年前

Chandru · 要检查的两个不同日期字段是gte还是lte

7 年前

Zhao Li · Kibana没有连接到ElasticSearch

7 年前

vinnylinux · 按Kibana的财产发生情况统计文件

7 年前

TheHorizon · ELK:设置logstash ELK堆栈的多个http输入

7 年前

RCross · Logstash在字段中定义字段

7 年前