我创建了一个日志解析器,它将每个已解析的日志行放入Elastic Search,作为包含timestamp,error_code,message等字段的文档。
现在,问题是显示按error_code分组的错误,但对于每个error_code,应该有出现次数,最后一次出现的时间(即最大时间戳)和消息示例(最好是最后一次)。 / p>
我知道可以使用facet来确定所有唯一的error_codes以及每个error_codes的总出现次数。但是我如何获得时间戳和消息?
答案 0 :(得分:0)
您正在寻找的内容称为Field Colpsing,而ElasticSearch中尚未提及(请参阅https://github.com/elasticsearch/elasticsearch/issues/256)。它可以在Solr中使用。