- Java锁的逻辑(结合对象头和ObjectMonitor)
- 还在用饼状图?来瞧瞧这些炫酷的百分比可视化新图形(附代码实现)⛵
- 自动注册实体类到EntityFrameworkCore上下文,并适配ABP及ABPVNext
- 基于Sklearn机器学习代码实战
转载请注明出处:
。
get 直接查询 索引名称时,会返回 该 索引得 mapping 和 settings 得配置,上述返回得结构如下:
{ "terra-syslog_2023-07-12" : { "aliases" : { }, "mappings" : { "properties" : { "@timestamp" : { "type" : "date" }, "@version" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } }, "host" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } }, "message" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } }, "received_at" : { "type" : "date" }, "received_from" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } }, "syslog_facility" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } }, "syslog_facility_code" : { "type" : "long" }, "syslog_hostname" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } }, "syslog_message" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } }, "syslog_program" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } }, "syslog_severity" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } }, "syslog_severity_code" : { "type" : "long" }, "syslog_timestamp" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } }, "tags" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } }, "type" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } }, "user" : { "type" : "text" , "fields" : { "keyword" : { "type" : "keyword" , "ignore_above" : 256 } } } } }, "settings" : { "index" : { "creation_date" : "1689137630855" , "number_of_shards" : "1" , "number_of_replicas" : "1" , "uuid" : "Qew4uoNUQ9q8-JQDPTWVPw" , "version" : { "created" : "7080199" }, "provided_name" : "terra-syslog_2023-07-12" } } } }
该dsl 为:
GET terra-syslog_2023-07-15/ _search { "size": 0 , "query" : { "bool" : { "must" : [ { "wildcard" : { "syslog_program.keyword" : { "wildcard": "*SSH_USER_LOGIN*" , "boost": 1 } } } ], "adjust_pure_negative": true , "boost": 1 } }, "aggregations" : { "time_agg" : { "date_histogram" : { "field": "received_at" , "format": "EEE" , "fixed_interval": "1d" , "offset": 0 , "order" : { "_key": "asc" }, "keyed": false , "min_doc_count": 0 }, "aggregations" : { "user_agg" : { "terms" : { "field": "user.keyword" , "size": 10 , "min_doc_count": 1 , "shard_min_doc_count": 0 , "show_term_doc_count_error": false , "order" : [ { "_count": "desc" }, { "_key": "asc" } ] } } } } } }
这段 DSL 具有以下作用:
"size": 0 : 设置返回的结果集大小为 0,即只返回聚合结果,不返回匹配的文档.
query 部分:构建了一个布尔查询,包含多个 exists 和 range 子查询,用于过滤符合条件的文档.
exists 子查询检查指定字段是否存在,这里依次检查了 source.ip 、 source.port 、 destination.ip 、 destination.port 、 host.name 和 flow.rep_tags 字段的存在.
range 子查询指定了对 @timestamp 字段进行范围筛选,从给定的时间戳范围中选择满足条件的文档.
aggregations 部分:定义了聚合操作,通过 terms 聚合按照 host.name 字段进行分组,并计算每个组内的文档数.
terms 聚合将按照 host.name 字段的值进行分组。设置 size 为最大整数 2147483647 ,以确保返回所有分组.
min_doc_count 设置为 1,表示只返回至少拥有一个文档的分组.
shard_min_doc_count 设置为 0,表示在单个分片上没有要求文档数量的最小要求.
show_term_doc_count_error 设置为 false,不显示术语文档计数错误.
order 指定了排序规则,首先按照分组中的文档数 _count 降序排序,然后按照 host.name 字段的值升序排序.
在 terms 聚合内部定义了一个子聚合 cardinality ,用于计算每个分组内唯一组合的数量。这里通过拼接 source.ip 、 source.port 、 destination.ip 和 destination.port 字段的值来作为唯一标识.
该 DSL 查询的作用是在给定时间范围内,统计满足一系列条件(存在指定字段)的文档,并按照 host.name 进行分组并计算每个组内唯一组合的数量.
另外,在查询时,使用 _search 可以执行DSL, 如果没有_search 时,可以查询该索引得文档结构类型,以及该索引得副本、分片等信息 。
将前面的映射中的 syslog_timestamp 字段类型修改为日期类型(date),需要更新映射定义并重新创建索引。 。
删除现有的索引,或者创建一个新的索引.
更新映射定义,将 syslog_timestamp 的类型更改为 "date"。以下是更新后的映射示例:
{ "mappings" : { "_doc" : { "properties" : { // 其他字段... "syslog_timestamp" : { "type": "date" }, // 其他字段... } } } }
PUT terra-syslog_2023-07-15 { "mappings" : { "_doc" : { "properties" : { // 其他字段... "syslog_timestamp" : { "type": "date" }, // 其他字段... } } } }
这样, syslog_timestamp 字段的类型就会被修改为日期类型,并可以存储、索引和查询日期值。根据数据的格式和需求,Elasticsearch 会自动解析日期字符串并将其转换为适当的日期对象.
。
最后此篇关于ES实战复杂sql查询、修改字段类型的文章就讲到这里了,如果你想了解更多关于ES实战复杂sql查询、修改字段类型的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
在有些场景下,我们需要对我们的varchar类型的字段做修改,而修改的结果为两个字段的拼接或者一个字段+字符串的拼接。 如下所示,我们希望将xx_role表中的name修改为name+id。
SELECT incMonth as Month, SUM( IF(item_type IN('typ1', 'typ2') AND incMonth = Month, 1, 0 ) )AS
我最近读到 volatile 字段是线程安全的,因为 When we use volatile keyword with a variable, all the threads read its va
我在一些模型中添加了一个 UUID 字段,然后使用 South 进行了迁移。我创建的任何新对象都正确填充了 UUID 字段。但是,我所有旧数据的 UUID 字段为空。 有没有办法为现有数据填充 UUI
刚刚将我的网站从 mysql_ 更新为 mysqli,并破坏了之前正常运行的查询。 我试图从旋转中提取 id,因为它每次都会增加 1,但我不断获取玩家 id,有人可以告诉我我做错了什么吗?我尝试了将
我在 Mac OS X 上使用带有 Sequel Pro 的 MySQL。我想将一个表中的一个字段(即名为“GAME_DY”的列)复制到另一个名为“DAY_ID”的表的空字段中。两个表都是同一数据库的
问题: 是否有可能有一个字段被 JPA 保留但被序列化跳过? 可以实现相反的效果(JPA 跳过字段而序列化则不会),如果使用此功能,那么相反的操作肯定会很有用。 类似这样的事情: @Entity cl
假设我有一个名为“dp”的表 Year | Month | Payment| Payer_ID | Payment_Recipient | 2008/2009 | July
我将尝试通过我的 Raspberry Pi 接入点保证一些 QoS。 开始之前,我先动手:我阅读了有关 tcp、udp 和 ip header 的内容。在IP header description我看
如果你能弄清楚如何重命名这个问题,我愿意接受建议。 在 Dart 语言中,可以编写一个带有 final 字段的类。这些是只能设置的字段构造函数前 body 跑。这可以在声明中(通常用于类中的静态常量)
你怎么样? 我有两个带有两个字段的日期选择器 我希望当用户选择 (From) 时,第二个字段 (TO) 将是 next day 。比如 booking.com 例如:当用户选择From 01-01-2
我想我已经看到了这个问题的一些答案,这些答案可能与我需要的相差不远,但我对 mysql 的了解还不够确定,所以我会根据我的具体情况提出问题。 我有一个包含多个表的数据库,为此,如果“image”表上的
我在 mySQL 数据库中有 2 个表: customers ============ customer_id (1, 2 ) customer_name (john, mark) orders ==
我正在开发一个员工目标 Web 应用程序。 领导/经理在与团队成员讨论后为他们设定目标。这是一年/半年/季度,具体取决于组织遵循的评估周期。 现在的问题是添加基于时间段的字段或存档上一季度/年度数据的
我正在寻找允许内容编辑器从媒体库中选择多个文件的东西,这些文件将在渲染中列出。他们还需要能够上传文件和搜索。它必须在页面编辑器(版本 8 中称为体验编辑器)中工作。 到目前为止我所考虑的: 一堆文件字
现在,我有以下由 original.df %.% group_by(Category) %.% tally() %.% arrange(desc(n)) 创建的 data.frame。 DF 5),
我想知道是否有一些步骤/解决方案可以处理错误消息并将它们放入 Pentaho 工具中的某个字符串或字段中?例如,如果连接到数据库时发生某些错误,则将该消息从登录到字符串/字段。 最佳答案 我们在作业的
如何制作像短信应用程序一样的“收件人”字段?例如,右侧有一个“+”按钮,当添加某人时,名称将突出显示并可单击,如圆角矩形等。有没有内置的框架? 最佳答案 不,但请参阅 Three20 的 TTMess
是否可以获取记录的元素或字段的列表 通过类型信息类似于类的已发布属性的列表吗? 谢谢 ! 最佳答案 取决于您的delphi版本,如果您使用的是delphi 2010或更高版本,则可以使用“新rtti”
我正在构建一个 SQLite 数据库来保存我的房地产经纪人的列表。我已经能够使用外键来识别每个代理的列表,但我想在每个代理的记录中创建一个列表;从代理商和列表之间的一对一关系转变为一对多关系。 看这里
我是一名优秀的程序员,十分优秀!