elasticsearch - Elasticsearch查询OR和AND函数

Question

我是Elasticsearch的新手，正在做一些查询基础知识。

我必须检索那些文档的数量，这些文档是:
包含netflow.src_port ['10'，'11'，'12']或netflow.dst_port ['20'，'21'，'22']
AND时间戳记在最近15分钟内。

我有一个基本的查询，如下所示:

    body: {
    "query": {
      "bool":{
        "should": [
          {"terms": { "netflow.src_port": ["10","11","12"] }},
          {"terms": { "netflow.dst_port": ["20","21","22"] }}
        ],
        "must": [
          {"range" : {
            "@timestamp" : {
              "gt" : "now-15m"
            }
          }}
        ]
      }
    }
  }

遵循 official documentation， should用于注意:文档不必包含该范围内的src_port或dst_port，但如果包含，则相应地计算成本。

我真正需要的是他们的条件。

如果我的解释不清楚，则下面的内容可能会传达我正在尝试实现的目标:

if( (netflow.src_port contains [10 or 11 or 12] || netflow.dst_port contains [20 or 21 or 22]) && timestamp is within the last 15m.

我到底需要做什么才能获得理想的结果？

Answer 1

尝试更改查询的should部分以包括minimum_should_match属性。例如

{
  "bool":{
    "should": [
      {"terms": { "netflow.src_port": ["10","11","12"] }},
      {"terms": { "netflow.dst_port": ["20","21","22"] }}
    ],
    "must": [
      {"range" : {
        "@timestamp" : {
          "gt" : "now-15m"
        }
      }}
    ],
    "minimum_should_match": 1
  }
}