您好,我有一个子搜索命令,该命令可以为我提供所需的结果,但这样做的速度非常慢。我要搜索的日志条目超过一百万,这就是我正在寻找优化解决方案的原因。我已经通过询问类似问题的答案,但无法实现我需要的]
我有一个日志,该日志具有针对entry_id的事务,该entry_id始终具有主条目,并且可能具有或不具有subEntry
我想找到所有具有subEntry的mainEntry日志的版本号计数>
我使用的示例查询
index=index_a [search index=index_a ENTRY_FIELD="subEntry"| fields Entry_ID] Entry_FIELD="mainEntry" | stats count by version样本数据
Index=index_a 1) Entry_ID=abcd Entry_FIELD="mainEntry" version=1 Entry_ID=abcd ENTRY_FIELD="subEntry" 2)Entry_ID=1234 Entry_FIELD="mainEntry" version=1 3)Entry_ID=xyz Entry_FIELD="mainEntry" version=2 4)Entry_ID=lmnop Entry_FIELD="mainEntry" version=1 Entry_ID=lmnop ENTRY_FIELD="subEntry" 5)Entry_ID=ab123 Entry_FIELD="mainEntry" version=3 Entry_ID=ab123 ENTRY_FIELD="subEntry"请帮助优化此问题
您好,我有一个子搜索命令,该命令可以为我提供所需的结果,但这样做的速度非常慢。我要搜索的日志条目超过一百万,这就是为什么我要查找...
尚不完全清楚您的样本数据是什么样。