我有程序通过rsyslog将日志发送到graylog并将它们保存在弹性搜索中。 我使用弹性搜索1.7。
消息由rsyslog发送,如下所示
{"t" : [
{"id":10,"x":12,"y":15,"z":8},
{"id":12,"x":8,"y":6,"z":1},
{"id":10,"x":2,"y":1,"z":6}
]}
我希望获得具有相同ID的所有消息的x,y,z之和。 我用什么查询?
我使用了这个查询,但工作不正确。
{
"aggs" : {
"t" : {
"nested" : {
"path" : "t"
},
"aggs" : {
"sum_x" : { "sum" : { "field" : "t.x" } }
}
}
}
}