我在一个ElasticSearch索引中有很多日志消息。 这些日志消息包含两个特殊消息。一条开始消息和一条结束消息(仅具有一个值为“ START”和“ STOP”的字段)。
我可以在ElasticSearch中创建查询以返回这两个消息之间该索引中的所有日志吗?
感谢您的帮助。
更新:
这里有一个示例,简化了我的数据的样子:
PUT log
{
"settings": {
"index": {
"number_of_shards": 1,
"number_of_replicas": 0
}
},
"mappings": {
"_doc": {
"properties": {
"timestamp": {
"type": "date",
"format": "epoch_millis"
},
"msg": {
"type": "text"
}
}
}
}
}
PUT log/_doc/1
{
"timestamp": 1000,
"msg" : "TO_EARLY"
}
PUT log/_doc/2
{
"timestamp": 2000,
"msg" : "START"
}
PUT log/_doc/3
{
"timestamp": 3000,
"msg" : "Hello, World!"
}
PUT log/_doc/4
{
"timestamp": 4000,
"msg" : "STOP"
}
PUT log/_doc/5
{
"timestamp": 5000,
"msg" : "TO_LATE"
}
所以我的问题是:查询看起来如何在START和STOP消息之间获取消息?