我有以下日志:
{
"a":"XXX",
"b":"YYY",
"token":"acquired"
}
此外,我有没有设置此token密钥的日志。 Kibana的术语小组告诉他们,他们将它们显示为Missing fields(3047)。如何查询没有设置token密钥的所有文档?
答案 0 :(得分:1)
您可以在ES中查询缺少的字段:
来自:http://www.elasticsearch.org/guide/en/elasticsearch/guide/current/_dealing_with_null_values.html
GET /my_index/posts/_search
{
"query" : {
"filtered" : {
"filter": {
"missing" : { "field" : "token" }
}
}
}
}