我想搜索两个索引。我需要从第一个索引中提取一个字段的值,并在第二个索引中搜索它,然后需要计数。很难写下来,对不起。
嘘..类似。
index=firstIndex someUniqueField=something | rex commonField=someregex |
另一个搜索:
index=secIndex someOtherUniqueField=something2 | commonfield= theRegexedStuff
我希望这可以在一个查询中并得到它的计数。甚至有可能吗?
要添加的一件事: 由于这是错误的情况,因此第二次搜索通常结果较少。所以实际上我想要一个结果,在其中,第一个搜索的唯一字段在那里,而对于公共字段,在第二个搜索中出现结果,而在第二个搜索中,唯一字段在那里。 gh,无法真正解释得更好。
谢谢。
答案 0 :(得分:0)
如果第一个搜索返回的结果少于10,000个,则可以使用子搜索。第一次搜索进入子搜索,因为子搜索首先运行。
index=secIndex someOtherUniqueField=something2
[ search index=firstIndex someUniqueField=something
| rex commonField=someregex
| fields commonField
| format ]