ELK,萌萌哒

聚合查询mysql语句转成ES语句结果不对

Elasticsearch | 作者 Kris | 发布于2019年06月24日 | 阅读数:1916

SELECT a,b,count(*) AS count,c,d,e,f,g,max(insert_time) AS insert_time
FROM adf_idslog
where plugin = "detect_portscan"
GROUP BY f,c,d
ORDER BY max(insert_time) DESC


{
  "query": {
    "bool": {
      "must": [
        {
          "term": {
            "plugin.keyword": "detect_portscan"
          }
        }
      ]
    }
  },
  "size": 0,
  "aggs": {
    "type": {
      "terms": {
        "field": "f.keyword",
        "size": 100
      },
      "aggs": {
        "ip_src": {
          "terms": {
            "field": "c.keyword",
            "size": 100
          },
          "aggs": {
            "ip_dst": {
              "terms": {
                "field": "d.keyword",
                "size": 100,
                "order": {
                  "max_insert_time": "desc"
                }
              },
              "aggs": {
                "max_insert_time": {
                  "max": {
                    "field": "insert_time"
                  }
                },
                "top": {
                  "top_hits": {
                    "_source": [
                      "a",
                      "b",
                      "c",
                      "d",
                      "e",
                      "f",
                      "g"
                    ],
                    "size": 1
                  }
                }
              }
            }
          }
        }
      }
    }
  }
}
已邀请:

要回复问题请先登录注册