目前,我已经知道如何从(时间戳)日期字段中筛选日期范围。这很简单:
"range": {
"date": {
"gte": "2015-11-01",
"lte": "2015-11-30"
}
}
但是,当您对gte:"8:00:00"和lte:"10:00:00"等基于小时的范围感兴趣时,如何筛选日期?这可能吗?
换句话说,我的要求是:如何获取本月(15-11-01/15-11-30)发生的所有事件,但仅发生在上午8:00:00至10:00:00之间?
您可以使用range过滤器来过滤正确的天数,然后使用script过滤器来过滤所需的小时数,如下所示:
{
"query": {
"filtered": {
"filter": {
"bool": {
"must": [
{
"range": {
"date": {
"gte": "2015-11-01",
"lte": "2015-11-30"
}
}
},
{
"script": {
"script": {
"source": "doc.date.date.getHourOfDay() >= params.min && doc.date.date.getHourOfDay() <= params.max",
"params": {
"min": 8,
"max": 10
}
}
}
}
]
}
}
}
}
}
请注意,您需要确保启用动态脚本才能使此查询正常工作。
如果我正确理解你的问题,那么我认为你必须添加新的字段,该字段只对这样的时间进行索引
PUT your_index
{
"mappings": {
"your_type": {
"properties": {
"time": {
"type": "date",
"format": "HH:mm:ss"
}
}
}
}
}
然后你可以像这个一样查询
{
"query": {
"bool": {
"must": [
{
"range": {
"date": {
"gte": "2015-11-01",
"lte": "2015-11-30"
}
}
},
{
"range": {
"time": {
"gte": "08:00:00",
"lte": "10:00:00"
}
}
}
]
}
}
}
这有帮助吗?
以下是我曾经只从当天开始到下午6点得到结果的内容:
{
"query": {
"bool": {
"must": [
{
"query_string": {
"query": "(log_message:"My Search String")"
}
},
{
"range": {
"@timestamp": {
"time_zone": "CET",
"gt": "now-24h/d",
"lte": "now-24h/d+18h"
}
}
}
]
}
}
}
重要的部分是"now-24h/d",它将持续到当天的午夜/开始,尽管这有点棘手,因为这取决于您是否使用gt/lt(e),请参阅参考文档了解详细信息。