我正在使用ES 5.X为带有时间戳的系统日志消息编制索引。 在一天结束时,我需要进行查询,以了解给定字段在索引历史记录中以前从未见过的值。
如何以有效的方式实现这一目标?
举个例子,
假设在2017/06/19日期,以下文件已编入索引:
{
"text": "hello",
"date": "2017/06/19"
}
现在,在2017/06/20日期,以下文件已编入索引:
{
"text": "hello",
"date": "2017/06/20"
}
{
"text": "world",
"date": "2017/06/20"
}
{
"text": "from",
"date": "2017/06/20"
}
{
"text": "Europe",
"date": "2017/06/20"
}
2017/06/20的23:59我想知道今天发现了text字段的哪些新值。我想知道是否有更好的解决方案,而不是采用每个单独的值并使用范围过滤器查询文本字段。
查询应返回“world”,“from”,“Europe”。