我正在使用存储syslog事件的基于时间的索引。
所有数据来自不同来源(PC)。
假设我有这种事件:
timestamp = 0
source = PC-1
event = event_type_1
timestamp = 1
source = PC-1
event = event_type_1
timestamp = 1
source = PC-2
event = event_type_1
我想创建一个查询来检索匹配event = event_type_1的文档的“source”字段的所有不同值
我希望拥有所有精确值(无近似值)。 为了实现它,我编写了一个带有指定正确大小的聚合的基数查询,因为我没有先前知道不同来源的数量。我认为这是一项昂贵的工作,因为它消耗了大量的内存。 有没有其他办法可以做到这一点?