软件版本:7.8
收集的登录日志,如何查询每个用户的最后登录时间?query语句应该咋写呀?尝试过聚合,但是聚合貌似只能导出登录过的用户。
GET aws-fortigate-*/_search
{
"size": 10000,
"query": {
"bool": {
"must": [
{
"match_phrase": {
"syslog.action": "tunnel-up"
}
},
{
"match_phrase": {
"syslog.tunneltype": "ssl-tunnel"
}
}
]
}
},
"_source": ["syslog.user","syslog.eventtime","@timestamp"]
}
这样是查询出所有的登录事件,还需要如何修改
收集的登录日志,如何查询每个用户的最后登录时间?query语句应该咋写呀?尝试过聚合,但是聚合貌似只能导出登录过的用户。
GET aws-fortigate-*/_search
{
"size": 10000,
"query": {
"bool": {
"must": [
{
"match_phrase": {
"syslog.action": "tunnel-up"
}
},
{
"match_phrase": {
"syslog.tunneltype": "ssl-tunnel"
}
}
]
}
},
"_source": ["syslog.user","syslog.eventtime","@timestamp"]
}
这样是查询出所有的登录事件,还需要如何修改
3 个回复
FFFrp
赞同来自:
caryliang - es使用工程师
赞同来自:
liujiacheng
赞同来自: