queue_id字段是一个mac地址的字符串,类似:"queue_id": "ac:83:f3:58:a2:90"
我想找出有多少个mac地址存在,但结果本来应该是380,现在查询结果是179,误差很大,求帮助,非常感谢
POST /logstash-2017.09.18/_search
{
"query": {
"bool": {
"must": [
{ "match_phrase": { "beat.hostname": "web01" } },
{ "exists": { "field": "queue_id"} }
]
}
}
,
"aggs" : {
"id_count" : {
"cardinality" : {
"field" : "queue_id",
"precision_threshold": 40000}
}
}
}
我想找出有多少个mac地址存在,但结果本来应该是380,现在查询结果是179,误差很大,求帮助,非常感谢
POST /logstash-2017.09.18/_search
{
"query": {
"bool": {
"must": [
{ "match_phrase": { "beat.hostname": "web01" } },
{ "exists": { "field": "queue_id"} }
]
}
}
,
"aggs" : {
"id_count" : {
"cardinality" : {
"field" : "queue_id",
"precision_threshold": 40000}
}
}
}
1 个回复
Cheetah
赞同来自:
或者可以试试collapse 字段折叠,看看结果是否一致