Elasticsearch：分享一系列结果

Question

我的设置

考虑使用Elasticsearch cluster连续发送到Filebeat的日志流。

我的问题

我想继续阅读Elasticsearch的日志流。毋庸置疑，ES没有流API，因此我必须使用连续的HTTP调用进行分页。

我尝试了什么

• 使用from / size
• 使用Search After

查询正文

{
  "size": 5,
  "from": 0,
  "sort": [
    {
      "@timestamp": {
        "order": "desc",
        "unmapped_type": "boolean"
      }
    }
  ],
  "query": {
    "bool": {
      "must": [
        {
          "query_string": {
            "query": "source:*.log",
            "analyze_wildcard": true
          }
        }
      ]
    }
  },
  "_source": {
      "include": ["message", "@timestamp"],
      "exclude": "_*"
  }
}

我的问题

如何从Elasticsearch中分页日志条目流？