我正在搜索,需要一些ElasticSearch智慧。
目标:我正在尝试将所有Src_ip以及IP_rep和geoip.asn全部包含在搜索中,而我要从中提取日志的NGINX服务器没有重复。
我的问题是我取回了我需要的数据,但是有很多重复项,我很好奇是否有人知道一种更好地运行此搜索的方法
搜索在下面(请注意,我仍然是菜鸟)
GET /logstash-2019.05.17/_search
{
"aggs": {
"2": {
"terms": {
"field": "src_ip.keyword",
"size": 5,
"order": {
"1": "desc"
}
},
"aggs": {
"1": {
"cardinality": {
"field": "src_ip.keyword"
}
},
"3": {
"terms": {
"field": "type.keyword",
"size": 5,
"order": {
"1": "desc"
}
},
"aggs": {
"1": {
"cardinality": {
"field": "src_ip.keyword"
}
}
}
}
}
}
}
}
{
"_source": ["src_ip", "beat.name", "ip_rep", "geoip.asn", "type"],
"query": {
"exists": {
"field": "src_ip.keyword"
}
}
}