我有查询iis日志的inquisitor插件,但出于某种原因,当我尝试减少返回字段的数量时,它根本不起作用。
此查询按预期工作:
{
"query": {
"term":
{ "geoip.country_name" : "ukraine"}
} }
但是当我添加字段时却没有。
{
"fields" : ["port"],
"query": {
"term":
{ "geoip.country_name" : "ukraine"}
}
}
答案 0 :(得分:0)
使用_source而不是字段
我认为' port'是一个嵌套的对象,使用'字段'
这样做,
{
"_source" : ["path"]
}
所以,你的来源只包含路径。