我正在使用ELK 6.2.3版本。 我能够为数据创建多个可视化,但我希望其中一些具有“复杂”的过滤器。我的索引包含一个ID字段和一个日期字段,以及我要汇总的其他数据(我不汇总ID或日期)。 我希望可视化显示每个id的最新日期。 我今天可能会从ID“ x”获取数据,但是对于ID“ y”,我只是两天前才收到数据。
例如,我创建了一个饼图,该饼图聚集在名为“ type”的字段上,但我想在该图中显示每个ID的最新数据。 该文档如下所示:
Document 1:
{
“id”: “x”,
“date”: “June 10th 2019, 10:00:29.000”,
“type”: “TypeA”
}
Document 2:
{
“id”: “y”,
“date”: “June 8th 2019, 10:00:29.000”,
“type”: “TypeA”
}
对于每个ID,我都希望获得最新日期,而不仅仅是过去24小时左右。 这可能吗?
谢谢