我正在寻找有关构建查询的帮助,该查询将检索给定时间范围内的最后数量的文档,例如最后30分钟。 这些文件是系统日志,如:
AnyCPU我的想法是将此查询构建到另一个脚本中,该脚本将检查要添加到ES的新项目。
答案 0 :(得分:0)
使用Range Query:
GET index/type/_count
{
"query": {
"range": {
"@timestamp": {
"from": "now-30m",
"to" : "now"
}
}
}
}
这将输出如下:
{
"count": 2,
"_shards": {
"total": 5,
"successful": 5,
"failed": 0
}
}
其中count将包含匹配的文档数。
详细了解Range Query here