我正在尝试按客户分割日志。我想我理解Elasticsearch的查询DSL。
为了过滤日志,我使用域名作为过滤器参数。 这个时候我们会打电话给他们
现在我已设法过滤日志,以便域bh250.example.com的所有者只能看到他的日志文件。
但是当我想对它们进行排序时,根据它的时间戳"打破"过滤器并显示bh250和bh500日志。
q =Q("match", domainname=domein)
q1 =Q("match", status="404")
search= Search(using=dev_client, index="access-logs").query(q).filter.("term" , status="200").sort("-@timestamp")[0:100]
现在没有Sort功能,它会显示正确的日志,但顺序不同。使用sort函数我在屏幕上获得两个记录。 (bh250和bh500)
我也看过映射是否可能是问题,但我不太确定为什么sort函数会破坏我的"过滤器"