我有一个具有以下架构的ElasticSearch索引:
{
"mappings": {
"properties": {
"timestamp": { "type": "date" },
"resource": { "type": "keyword" },
"event": { "type": "keyword" }
}
}
}
“事件”字段可以具有以下值:“信息”,“错误”。
如何进行汇总,以便随着时间的推移可以看到有多少个连续文档,其中“事件”字段的值为“错误”-这是为了检测错误条纹。