我有一个问题,该查询没有带给主机fancyserver01信息,其他计算机也有连接。
实际上,此针对elastic5实例的查询仅与一个主机不匹配。
curl -XGET -u "USER:PASSWORD" 'https://elasticserver:9200/connbeat-*/_search?_source=local_ip,local_port,remote_ip,remote_port' -d '{"query":{"bool":{"must":[{"query_string":{"analyze_wildcard":"true","query":"beat.hostname":"fancyserver01"}},{"range":{"@timestamp":{"from":"now-24h","to":"now"}}}]}}, "from":0,"size":5000000,"sort":[]})'
不知道我的问题在哪里
答案 0 :(得分:0)
问题是字符“-”,这给我带来了fancyserver和live01的数据,而不是fancyserver-live01
"beat.hostname":"fancyserver-live01"
我有这样的报价
"beat.hostname:\""fancyserver-live01\""