我想将以下kibbana elasticsearch查询转换为中的查询elasticsearch.count(index=indices, body=query)。
目标是获取给定时间戳记(过去24小时),cluster和integer_field> 0的计数。
正在查询(从Kibana获取)
curl -XGET 'some-url:9200/logstash-2015.07.03,logstash-2015.07.02/_search?pretty' -d '{
"facets": {
"0": {
"date_histogram": {
"field": "@timestamp",
"interval": "10m"
},
"global": true,
"facet_filter": {
"fquery": {
"query": {
"filtered": {
"query": {
"query_string": {
"query": "*"
}
},
"filter": {
"bool": {
"must": [
{
"range": {
"@timestamp": {
"from": 1435840604940,
"to": 1435927004940
}
}
},
{
"fquery": {
"query": {
"query_string": {
"query": "integer_field:(>0)"
}
},
"_cache": true
}
},
{
"fquery": {
"query": {
"query_string": {
"query": "cluster:(\"YYY\")"
}
},
"_cache": true
}
}
]
}
}
}
}
}
}
}
},
"size": 0
}'
对于其他情况,我有书面查询。只是这种情况,我被困住了。帮助将不胜感激。
您要查找的查询比强迫Kibana自动生成的查询更简单。一般来说,从Kibana提取它们时,您要查找“过滤的”查询部分。从那里,您可以删除通配符条件。
{
"query": {
"filtered": {
"filter": {
"bool" : {
"must" : [
{
"term" : {
"cluster" : "YYYY"
}
},
{
"range" : {
"integer_field" : {
"gt" : 0
}
}
},
{
"range" : {
"@timestamp" : {
"gt" : "now - 24h"
}
}
}
]
}
}
}
}
}
“群集”term过滤器是唯一可能对您的使用无效的过滤器。term过滤器与索引值完全匹配,因此,如果它不是字面意义上的“ YYYY”(例如“ yyyy”),则将不匹配。您可能希望{ "term": { ... } }成为:
{
"fquery" : {
"query" : {
"match" : {
"cluster" : "YYYY"
}
}
}
}
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句