0

我正在尝试在 Kibana 上创建一个可视化,以跟踪在过去一周活跃但在过去两天不活跃的实体。由于我在每个文档上都有可用的时间戳,因此我可以轻松地创建一个可视化来显示过去一周内受到打击的实体。它显示了所有实体,包括过去两天受到攻击的实体。我想排除这些在过去两天受到攻击的实体。

我想要这样的东西:

Date Range (now-7d to now-2d) and NOT(now-2d - now)

具体来说,我正在寻找对日期范围进行否定操作的帮助。

这是我的过滤器的样子:

在此处输入图像描述

4

1 回答 1

0

也许我误解了需求,但我认为你不应该尝试在聚合中这样做,而应该在过滤器中进行。您可以使用可视化保存过滤器。

顺便说一句,我认为过滤器(now-7d 到 now-2d)可以完成这项工作,而您不需要!(now-2d - now) 查询将是

{
  "range": {
    "@timestamp": {
      "gte": "now-7d/d",
      "lt": "now-2d/d"
    }
  }
}

在此处输入图像描述

在一个范围内,我认为!(now-2d -tonow)是 =无限到 now-2d

在此处输入图像描述

于 2020-08-18T07:29:17.423 回答