我有一个Elasticsearch索引,其中每个文档都对应一个事件。每个事件都有其自己的ID(用作文档ID)和一个会话ID。多个事件可以具有相同的会话ID。
问题1:在某些用例中,我只想在每个会话的最后一个事件之上执行搜索。这意味着我首先需要执行一种聚合,以会话ID对事件进行分组,然后从每个存储桶中获取最新的事件。只有这样,我才能查询聚合结果。
请注意,https://www.elastic.co/guide/en/elasticsearch/guide/current/_scoping_aggregations.html中描述的方法与我所需要的相反,因为聚合是在查询结果之上进行的。
问题2:是否可以向Kibana用户隐藏此逻辑,即几乎就像在Elasticsearch上创建视图一样?
限制:我无法修改文档的建模方式。