Агрегация с использованием упругого поиска

Question

Агрегация с использованием упругого поиска

У меня есть поисковый запрос для получения последних 5000 документов из моей эластичной БД, как показано ниже

{ 
  "размер": 5000, 
  "от": 0, 
  "запрос": {
        "спектр": {
            "hostTimestamp": {
                "gte": 1499674634382,
                "lte": 1499680034000
            }
        }
  },
  "Сортировать": [
    {
      "hostTimestamp": {
        "заказ": "desc"
      }
    }
  ]
}

Теперь в документах, которые выбраны в результате этого запроса, я не хочу считать ни одного документа с eventSeverity как Alert или же Critical, Как этого достичь?

0

elasticsearch elasticsearch-aggregation

Источник

user2822012 25 июл '17 в 01:58

1 ответ

Другие вопросы по тегам elasticsearch elasticsearch-aggregation

user4604579 25 июл '17 в 04:01 2017-07-25 04:01 · Answer 1 · 2017-07-25 04:01

Вы можете достичь этого с terms агрегация на eventSeverity поле:

{ 
  "size": 5000, 
  "from": 0, 
  "query": {
        "range" : {
            "hostTimestamp" : {
                "gte" : 1499674634382,
                "lte" : 1499680034000
            }
        }
  },
  "sort": [
    {
      "hostTimestamp": {
        "order": "desc"
      }
    }
  ],
  "aggs": {                  <--- add this part
    "severities": {
      "terms": {
        "field": "eventSeverity"
      }
    }
  }
}