我希望在Kibana进行条件搜索。我有多个具有相似字段的表单_types。我想返回一种类型的结果,只取决于另一种存在的结果。我无法使用_missing和_exists查询标记,因为该字段不一定是空的,它可能只包含不同的值。以下是我想要实现的目标。
这两种类型是nmap和shodan。可以通过以下地址访问示例文件:
/test/nmap/1
/test/shodan/1
两个文件都包含多个字段,其示例如下:
ip:10.0.0.1port:22state:打开 {{1 } ssh
现在我想计算打开的ssh端口数量。有些只会出现在nmap结果中,有些出现在shodan结果中,有些出现在两者中。我显然希望每个ip只计算一个端口,优先考虑nmap结果(即,如果nmap表示端口是打开的,并且shodan说它已关闭,我会计算nmap结果)。使用DSL查询是否可行,我看到的条件查询的唯一情况是使用_missing和_existing标记,或者我是否必须创建自定义脚本。