我在kibana 4中有2个指数:
第一个索引是基于事件的时间(创建日期)
第二个索引是基于事件的时间(关闭日期)
两者都是日期值,我想创建一个查询,它将返回文档总数创建日期(今天) - 文档总数日期已关闭(今天)
如果这不可能,我可以在一个索引中同时包含两个字段吗?
答案 0 :(得分:0)
是的,您需要在同一索引中同时包含 date 值,以便您可以使用scripted 字段执行减法 in Kibana。你可以简单地使用你的脚本:
doc.['date_created'].value - doc.['date_closed'].value
---------------- ^ ------------------------------ ---------- ^确保提供确切的字段名称
然后您可以将此脚本字段用作 Date Historgram ,以显示检索日期范围内文档的总数。
希望这有帮助!