格式错误的 bool 查询 elasticsearch - Elasticsearch 观察者答案

【问题标题】：malformed bool query elasticsearch - Elasticsearch watcher格式错误的 bool 查询 elasticsearch - Elasticsearch 观察者
【发布时间】：2021-06-03 19:49:16
【问题描述】：

您好，我在开发工具中使用了以下弹性搜索查询。我的 bool 查询不断出现错误，但查看 @timestamp 字段并尝试仅检索一天的数据似乎是正确的。

    "input": {
      "search": {
        "request": {
          "indices": [
            "<iovation-*>"
          ],
          "body": {
            "size": 0,
            "query": {
              "bool": {
                "must": {
                  "range": {
                    "@timestamp": {
                      "gte": "now-1d"
                    }
                  }
                }
              },
            "aggs": {
              "percentiles": {
                "percentiles": {
                  "field": "logstash.load.duration",
                  "percents": 95,
                  "keyed": false
                }
              },
              "dates": {
                "date_histogram": {
                  "field": "@timestamp",
                  "calendar_interval": "5m",
                  "min_doc_count": 1
                }
              }
            }
          }
        }
      }
    }
  },

感谢任何帮助！

【问题讨论】：

标签： elasticsearch kibana

【解决方案1】：

您的查询中几乎没有错误

当聚合与查询部分一起使用时，结构是

{ “询问”： {}， “聚合”：{} }

您在查询部分的末尾缺少一个}

Calendar Intervals 不接受多个数量，如 2d、2m 等。
如果你有固定的区间，那么可以参考fixed_interval参数

将您的查询修改为

{
  "size": 0,
  "query": {
    "bool": {
      "must": {
        "range": {
          "@timestamp": {
            "gte": "now-1d"
          }
        }
      }
    }                               // note this
  },
  "aggs": {
    "percentiles": {
      "percentiles": {
        "field": "logstash.load.duration",
        "percents": 95,
        "keyed": false
      }
    },
    "dates": {
      "date_histogram": {
        "field": "timestamp",
        "fixed_interval": "5m",           // note this
        "min_doc_count": 1
      }
    }
  }
}

【讨论】：

感谢您的成功。还要感谢您指出 fixed_interval 信息！ @ECoder