我有一个带“原点”字段的弹性索引。此字段可以有一个或两个列表/数组格式的字符串/关键字,如下所示:
"origin": [
"live"
],
或
"origin": [
"live",
"upload"
],
在kibana中,我想创建一个将图表拆分为
只有“活着”
仅“上传”或
二者都
但是如果我写一个过滤器命令
origin.keyword : "live"
显然,如果列表只包含“live”或两者都包含,比如[“live”,“upload”]。
如果“origin”只包含列表中的“live”值,那么我必须如何将这个kql过滤器编写为只列出文档?
谢谢!
1条答案
按热度按时间ff29svar1#
您可以使用“过滤器”聚合。
会给你这样的图表:
如果您需要精确的用例,请在您的评论中描述
过滤一个用kql编写的文件,所以不要犹豫,阅读文档来构建您自己的案例https://www.elastic.co/guide/en/kibana/7.9/kuery-query.html