我使用 logstash 解析日志文件并将其发送到弹性搜索服务器。发送到弹性服务器的数据如下所示。
"@version" => "1",
timestamp" => "2015-06-18T11:26:12.411Z",
"type" => "log",
"host" => "Raj",
"login" => "raj@gmail.com",
"IP" => "127.0.0.1",
"RequestID" => "sdfD1dsdfdee",
现在,如果我看到弹性服务器中创建的索引名为 "logstash-2015.06.18",并且如果明天推送具有不同时间戳的相同类型的数据,这将创建另一个索引,例如 "logstash-2015.06.19" .现在,我想通过名为"raj@gmail.com"的登录名获取所有登录时间。我怎样才能得到它?
我不能总是尝试 http://localhost:9200/logstash-2015.06.19/_search像这样的东西是因为实时我可能不知道默认创建的索引名称,另外如何获得今天和明天创建的两个索引的合并结果?
我尝试使用头部插件跟随,这给了我所有的结果,不仅匹配结果,而且我尝试query_string两者都不起作用。
http://localhost:9200/_search
{ "query": {"term": {"login": "raj@gmail.com" } }}}
请提出您的宝贵建议。
文档说您可以搜索所有索引:
curl -XGET 'http://localhost:9200/_all/tweet/_search?q=tag:wow'
或所有索引和类型:
curl -XGET 'http://localhost:9200/_search?q=tag:wow'