如何在开发工具查询中使用“OR”

Question

嗨，Bellow Search 为我提供了日志，它同时具有“value”：“HB”和“value”：“1234567”，因为我使用的是 Term，但是，如果匹配，我正在寻找什么

("value": "HB" OR "value": "TR" ) AND "value": "1234567"

但不明白如何在下面做， 谁能帮帮我

获取_搜索

{ "query": { "bool": { "must": [ { "match": {"log.file.path":"mylog.log" } }


     {
       "term": {
          "GPS-LOG.COMMAND": {
           "value": "HB"
         }
       }
     },
      {
      "term": {
          "GPS-LOG.IMEI": {
           "value": "1234567"
         }
       }
     }



   ],   "filter": {
     "range": {
       "@timestamp": {
         "gte": "now-10m"
       }
     }   }
     } }

Answer 1

乍一看，这似乎应该有一个简单的解决方案。但是，由于您使用的是 term 查询，因此您一次只能搜索一个值。我不知道您的映射，但如果您使用的是文本字段，则不应使用术语查询。

但是，要使用 term 查询来解决这个问题，您必须使用 minimum_should_match 结合 should 创建 OR 运算符。

见以下代码：

GET _search 
   { 
   "query":{ 
      "bool":{ 
         "must":[ 
            { 
               "match":{ 
                  "log.file.path":"mylog.log"
               }
            },
            { 
               "term":{ 
                  "GPS-LOG.IMEI":{ 
                     "value":"1234567"
                  }
               }
            },
            { 
               "bool":{ 
                  "should":[ 
                     { 
                        "term":{ 
                           "GPS-LOG.COMMAND":{ 
                              "value":"HB"
                           }
                        }
                     },
                     { 
                        "term":{ 
                           "GPS-LOG.COMMAND":{ 
                              "value":"TR"
                           }
                        }
                     }
                  ],
                  "minimum_should_match":1
               }
            }
         ],
         "filter":{ 
            "range":{ 
               "@timestamp":{ 
                  "gte":"now-10m"
               }
            }
         }
      }
   }
}