我有两个不同的日志: 日志 1 的字段:消息:“Log.Test.First.Message”和traceID:“123” 带有字段的日志 2:消息:“Log.Test.Second.Message”和traceID:“123”
我应该如何在“搜索”中创建查询以仅查找这些包含两条消息的traceID?我需要它来创建可视化。
例如:历史记录:
Log 1 with message: Log.Test.First.Message and traceID "123"
Log 2 with message: Log.Test.First.Message and traceID "456"
Log 3 with message: Log.Test.Second.Message and traceID "123"
Log 4 with message: Log.Test.First.Message and traceID "789"
Log 5 with message: Log.Test.Second.Message and traceID "789"
搜索后的结果应该是:2
{
"query": {
"bool": {
"filter": [
{ "term": { "traceID": "123" }}
]
}
}
}
我认为这应该只过滤那些traceID为123的。