Elasticearch观察者误差范围

PUT _xpack/watcher/watch/log_error_watch 
    { 
    "trigger": { 
    "schedule": { 
     "interval": "10s" 
    } 
    }, 
    "input": { 
    "search": { 
     "request": { 
     "indices": [ 
      "filebeat-2017.01.02" 
     ], 
     "body": { 
      "sort": [ 
      { 
       "@timestamp": { 
       "order": "desc" 
       } 
      } 
      ], 

      "query": { 
      "range": { 
       "offset": { 
       "gte": 1000, 
       "lte": 2000 
       } 
      }, 

      "match": { 
       "source": "/var/log/apache2/access.log" 
      } 
      }, 
      "size": 5 
     } 
     } 
    } 
    } 
}

[oemjJvmGcMonitorService] [HJ-test156] [GC] [11042]开销，花费[701ms]在最后[1S] [2017-01-02T15收集：32：04311 ] [错误] [oexwisExecutableSimpleInput] [hj-test156]未能执行手表[log_error_watch]的[搜索]输入，原因[[范围]格式错误的查询，预计[END_OBJECT]，但找到[FIELD_NAME]]Elasticearch观察者误差范围

来源

2017-01-02 Dixon Almeida

您的查询是不正常的，你需要这样写：

... 
    "query": { 
    "bool": { 
     "must": [ 
     { 
      "range": { 
      "offset": { 
       "gte": 1000, 
       "lte": 2000 
      } 
      } 
     }, 
     { 
      "match": { 
      "source": "/var/log/apache2/access.log" 
      } 
     } 
     ] 
    } 
    } 
}, 
...

UPDATE

对于日期字段，你可以做这样一个range：

{ 
     "range": { 
     "@timestamp": { 
      "gte": "2017-01-02T05:23:34.731Z", 
      "lte": "2017-01-03T05:23:34.731Z" 
     } 
     } 
    },

来源

2017-01-02 10:11:01 Val

谢谢。我如何与日期做同样的事情。我如何选择格式为“@timestamp”的日期范围：“2017-01-02T05：23：34.731Z” –

Elasticearch观察者误差范围

回答

相关问题